如何防止暴力破解？

Posted 2021-09-25 叁滴水

        在之前的文章中讨论了暴力破解带来的危害，这里探讨下如何有效的防止暴力破解。当然防止的方式有很多，作为一个java开发，暂且只探讨下如何在java层面友好的防止暴力破解。

验证码

        验证码，是一个很安全有效的防刷策略。但是，目前市面上打码平台越来厉害，简单的二维码，并不能有效的防刷。

        因此，如何研究出容易让人识别，但不容易让机器识别的二维码成为了问题。各个大平台各显神通。其中印象最为深刻的肯定是12306的验证码。

还有目前比较流行的滑块验证码

        等等，主要是为了让人方便，而且让机器难受。只要机器无法自动的识别，那么就无法进行流量无限刷。

ip锁定

        在很多情况下，很多人会有一种自娱自乐的心态自己去写脚本刷流量，例如：某个平台刷浏览量，刷点赞量。可能直接就一个很简单的脚本，用普通的电脑刷，一天也可以刷好几十万。

        这种流量很好识别，1秒中好几十个，肯定不是人为发的请求，可以直接封了其ip。封ip的方式有很多，nginx可以直接通过deny IP进行限制。

        但是，很多时候ip的限制要结合其业务进行实现，可通过openresty+lua实现。网上有很多现成的代码，这里就不多做解释。

[Nginx 通过 Lua + Redis 实现动态封禁 IP]

账号锁定

        ip锁定只能识别业余的刷流量人员，专业的刷流量肯定会有ip代理。这样无法通过ip来识别。

        如果其使用的账号一样，可以通过账号限制其请求频率。可通过Redis+Redisson 实现。Redisson 框架封装好了现成的限流方法，直接调用节可。