如何防止api劫持？

api是安全防范重災(zāi)區(qū)，實(shí)戰(zhàn)中防守時(shí)常用7個(gè)辦法：

1. 圖形校驗(yàn)碼和手機(jī)驗(yàn)證碼進(jìn)行綁定，有效的防止惡意攻擊。大部分應(yīng)用都采用。

2. 限定請(qǐng)求次數(shù)，服務(wù)器端限定同一IP地址，同一設(shè)備，同時(shí)間范圍內(nèi)的接口請(qǐng)求次數(shù)。重復(fù)發(fā)送的設(shè)置足夠時(shí)間間隔;每天最大的發(fā)送量

3. 流程條件要求細(xì)致，將驗(yàn)證放在最后進(jìn)行

4. 監(jiān)測用戶的IP所在地與手機(jī)號(hào)歸屬地是否匹配。

5. 服務(wù)器接口驗(yàn)證，服務(wù)請(qǐng)求接受后，返回一個(gè)由Token簽名生成的秘鑰，然后對(duì)每次后續(xù)請(qǐng)求進(jìn)行Token的封裝生成，服務(wù)器端驗(yàn)證是否一致。

6. api接口開啟https訪問,可以防止假IP。

7.采用服務(wù)器代理可以有效的防止接口真實(shí)地址的暴露。