如何防止接口被刷
目录
🛡️ 一、常见的防刷策略分类
🔧 二、技术实现细节
✅ 1. 基于 IP 限流
✅ 2. 给接口加验证码
✅ 3. 使用 Token 限制接口访问权限
✅ 4. 给接口加冷却时间(验证码类经典)
✅ 5. 使用滑动窗口限流算法(更精细)
✅ 6. 使用 API 网关限流工具
✅ 7. 行为分析 + 机器学习防刷(高级)
🔒 三、防刷策略组合应用(实战示例)
验证码接口:/send-code
🧪 四、测试建议
🧠 限流目标设定
📦 所需依赖
🧪 测试方式
✅ 优势
防止接口被刷(即防止恶意频繁访问接口)是构建稳定、安全的后端服务的关键环节。接口被刷会带来以下问题:
-
服务压力大 → 崩溃或变慢;
-
资源被滥用 → 例如验证码短信费用增加;
-
用户体验差 → 正常用户无法访问服务;
-
安全隐患 → 存在撞库攻击、恶意爬虫等风险。
🛡️ 一、常见的防刷策略分类
| 类别 | 技术措施 | 举例说明 |
|---|---|---|
| 身份识别类 | 登录校验、API Key、Token、Cookie 等 | 用户必须登录才能访问某些接口 |
| 频率限制类 | 限流、滑动窗口、漏桶/令牌桶算法 | 每个 IP 每分钟最多访问5次 |
| 行为识别类 | 图形验证码、人机验证、行为轨迹分析 | 连续请求验证码时需要输入图形码 |
| 请求来源控制 | Referer、User-Agent、IP 黑名单 | 拒绝来自非正常来源的请求 |
| 设备绑定 | 每个手机号/账号最多绑定几个设备 | 防止批量注册账号或虚拟机刷接口 |
🔧 二、技术实现细节
✅ 1. 基于 IP 限流
对访问频率高的 IP 设置访问上限:
# Redis限流示例:每个IP每分钟只能访问10次
ip_key = f"limit:{ip_address}"
count = redis.incr(ip_key)
if count == 1:redis.expire(ip_key, 60) # 设置1分钟过期
if count > 10:return "Too many requests", 429
✅ 适合接口:短信验证码、注册、登录、敏感操作。
✅ 2. 给接口加验证码
当用户触发“频繁操作”行为时,加一道图形验证码或滑块验证。
示例:
-
连续点击“获取验证码”按钮超过2次 → 弹出图形验证码
-
失败登录超过5次 → 要滑动验证
常用方案:
| 验证类型 | 说明 |
|---|---|
| 图形验证码 | 传统的“输入下图文字”方式 |
| 滑动验证码 | 腾讯云、极验验证码等 |
| 点选图标 | “请点选所有的猫” 等人机验证 |
✅ 3. 使用 Token 限制接口访问权限
很多接口只能在登录状态下访问,或需要传递一个有效的 API token。
例子:
GET /api/send-code
Authorization: Bearer eyJhbGciOiJIUzI1...
如果没有合法 token,直接拒绝访问,防止匿名恶意请求。
✅ 4. 给接口加冷却时间(验证码类经典)
比如:
-
每个手机号每60秒只能发送一次验证码;
-
同一个账号每天最多发送 5 次验证码。
用 Redis 实现:
key = f"cooldown:{phone}"
if redis.get(key):return "Too frequent", 429
redis.setex(key, 60, "1") # 设置60秒冷却期
✅ 5. 使用滑动窗口限流算法(更精细)
不同于 Redis 的简单计数,这种方式记录多个时间戳:
时间窗口 = 1分钟
若过去1分钟内请求数 > 10,则拒绝
适合用在中大型项目中,Redis 或网关中集成。
✅ 6. 使用 API 网关限流工具
许多云服务(如 Nginx + Lua、Kong、Envoy、阿里云API网关)都有限流功能。
例子:
limit_req_zone $binary_remote_addr zone=req_limit:10m rate=5r/s;server {location /api/ {limit_req zone=req_limit burst=10 nodelay;}
}
含义:同一 IP 每秒最多访问5次,最多可突发10次。
✅ 7. 行为分析 + 机器学习防刷(高级)
企业常用方式:
-
结合访问路径、时间间隔、鼠标轨迹、设备ID、IP地区等特征;
-
判断是否为脚本行为,自动拉入风控系统;
如支付宝、微信等都会对登录、转账等操作做 AI 风控。
🔒 三、防刷策略组合应用(实战示例)
验证码接口:/send-code
| 类型 | 策略 |
|---|---|
| 限速 | 每个手机号每分钟一次,IP 每小时最多 20 次 |
| 身份 | 登录后才允许请求验证码(防刷注册) |
| 图形验证码 | 多次请求后弹出图形验证 |
| 阈值 | 每个账号/手机号每天最多请求 5 次 |
🧪 四、测试建议
-
自己用脚本模拟高频调用接口,观察日志和限流是否生效;
-
使用 Apache Benchmark (
ab) 或locust进行压力测试; -
查看 Redis、网关是否正确记录并限制请求。
下面是一个使用 Flask + Redis 实现滑动窗口限流的接口示例,可以有效防止恶意刷接口请求,比如“短信验证码接口”。
🧠 限流目标设定
规则: 每个 IP 地址在过去 60 秒内最多访问 5 次 /send-code 接口。
📦 所需依赖
pip install flask redis
🧱 项目结构
rate_limit_project/
├── app.py # Flask主程序
└── limiter.py # 滑动窗口限流模块
🔧 limiter.py(滑动窗口限流核心逻辑)
# limiter.pyimport time
import redisr = redis.Redis(host='localhost', port=6379, db=0)def is_allowed(ip: str, max_requests=5, window_seconds=60) -> bool:now = int(time.time())key = f"rate_limit:{ip}"# 移除窗口外的时间戳r.zremrangebyscore(key, 0, now - window_seconds)# 当前请求数量current_count = r.zcard(key)if current_count >= max_requests:return False# 添加当前时间戳(score 和 value 都是当前时间)r.zadd(key, {str(now): now})r.expire(key, window_seconds)return True
🚀 app.py(主接口逻辑)
# app.pyfrom flask import Flask, request, jsonify
from limiter import is_allowedapp = Flask(__name__)@app.route('/send-code', methods=['GET'])
def send_code():ip = request.remote_addrif not is_allowed(ip):return jsonify({"code": 429, "msg": "请求太频繁,请稍后再试"}), 429# 模拟发送短信验证码return jsonify({"code": 200, "msg": "验证码已发送(假装的😄)"})if __name__ == '__main__':app.run(debug=True)
🧪 测试方式
连续请求超过 5 次 /send-code:
curl http://localhost:5000/send-code
第 6 次起应该会返回:
{"code": 429,"msg": "请求太频繁,请稍后再试"
}
✅ 优势
-
基于时间戳的滑动窗口比简单计数更精准;
-
Redis 存储时间戳,自动过期,性能高;
-
可轻松扩展:按用户 ID、IP、Token 等限流。