CN105897782A

CN105897782A - 一种针对接口的调用请求的处理方法及装置

Info

Publication number: CN105897782A
Application number: CN201610510791.1A
Authority: CN
Inventors: 刘凯; 梁昆; 孙阔; 尚德重; 张海艳; 汪强; 余文秋
Original assignee: Beijing QIYI Century Science and Technology Co Ltd
Current assignee: Beijing QIYI Century Science and Technology Co Ltd
Priority date: 2016-06-30
Filing date: 2016-06-30
Publication date: 2016-08-24
Anticipated expiration: 2036-06-30
Also published as: CN105897782B

Abstract

本发明实施例公开了一种针对接口的调用请求的处理方法及装置，预先建立针对用户的黑名单库和白名单库；所述方法包括：接收用户针对目标接口的调用请求，所述调用请求中至少包括请求地址；获得至少包含用于校验所述请求地址合法性的参数的令牌和用于生成针对所述请求地址的地址签名的第一算法组；根据所述第一算法组以及所述请求地址，生成针对所述请求地址的第一地址签名；根据所述黑名单库、所述白名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求；如果是，拦截所述调用请求。利用本发明实施例，提高了接口防刷的精确性。

Description

一种针对接口的调用请求的处理方法及装置

技术领域

本发明涉及接口防刷技术领域，特别涉及一种针对接口的调用请求的处理方法及装置。

背景技术

互联网技术的快速发展，使得人们更加关注互联网信息安全以及互联网公司自身的业务安全。在公司的用户登录、注册、激活码、活动链接等重要业务领域，安全防刷技术显得尤为重要。

现有的接口防刷技术多以异步数据分析为基础,建立黑白名单等方式再应用到接口层防止恶意请求和调用。由于需要积累一定的数据基础,所以对于数据基础不强的接口防刷技术来说，其黑白名单库中的用户数据基础不强，容易造成无法识别并拦截恶意请求，从而导致防刷的精确性不高。

发明内容

本发明实施例的目的在于提供一种针对接口的调用请求的处理方法及装置，以提高接口防刷的精确性。

为达到上述目的，本发明实施例公开了一种针对接口的调用请求的处理方法，预先建立针对用户的黑名单库和白名单库；方法包括：

接收用户针对目标接口的调用请求，所述调用请求中至少包括请求地址；

获得至少包含用于校验所述请求地址合法性的参数的令牌和用于生成针对所述请求地址的地址签名的第一算法组；

根据所述第一算法组以及所述请求地址，生成针对所述请求地址的第一地址签名；

根据所述黑名单库、所述白名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求；

如果是，拦截所述调用请求。

较佳的，所述根据所述黑名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求，包括：

根据所述黑名单库，判断所述黑名单库中是否存在所述用户对应的标识信息；

如果存在，确定所述调用请求为恶意请求；

如果不存在，根据所述白名单库，判断所述白名单库中是否存在所述用户对应的标识信息；

如果否，根据所述令牌中包含的参数，校验所述请求地址是否合法；

如果不合法，确定所述调用请求为恶意请求；

如果合法，根据所述请求地址、所述令牌包含的用于生成签名的参数以及所述第一算法组对应的第二算法组，生成第二地址签名；

判断所述第二地址签名和所述第一地址签名是否相同；

如果不相同，确定所述调用请求为恶意请求。

较佳的，所述方法还包括：

在将所述调用请求确定为恶意请求的次数到达预设第一次数的情况下，将所述用户对应的标识信息添加到所述黑名单库中。

较佳的，所述方法还包括：

在将所述调用请求确定为非恶意请求的次数到达预设第二次数、且所述白名单库中不存在所述用户对应的标识信息的情况下，将所述用户对应的标识信息添加到所述白名单库中。

为达到上述目的，本发明实施例公开了一种针对接口的调用请求的处理装置，预先建立针对用户的黑名单库和白名单库；所述装置包括：

接收模块，用于接收用户针对目标接口的调用请求，所述调用请求中至少包括请求地址；

获得模块，用于获得至少包含用于校验所述请求地址合法性的参数的令牌和用于生成针对所述请求地址的地址签名的第一算法组；

生成模块，用于根据所述第一算法组以及所述请求地址，生成针对所述请求地址的第一地址签名；

判断模块，用于根据所述黑名单库、所述白名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求；

拦截模块，用于在判断所述调用请求为恶意请求的情况下，拦截所述调用请求。

较佳的，所述判断装置，具体用于：

如果存在，确定所述调用请求为恶意请求；

如果不合法，确定所述调用请求为恶意请求；

判断所述第二地址签名和所述第一地址签名是否相同；

如果不相同，确定所述调用请求为恶意请求。

较佳的，所述装置还包括：

第一添加模块，用于在将所述调用请求确定为恶意请求的次数到达预设第一次数的情况下，将所述用户对应的标识信息添加到所述黑名单库中。

较佳的，所述装置还包括：

第二添加模块，用于在将所述调用请求确定为非恶意请求的次数到达预设第二次数、且所述白名单库中不存在所述用户对应的标识信息的情况下，将所述用户对应的标识信息添加到所述白名单库中。

由上述的技术方案可见，本发明实施例提供的一种针对接口的调用请求的处理方法及装置，预先建立针对用户的黑名单库和白名单库；接收用户针对目标接口的调用请求，所述调用请求中至少包括请求地址；获得至少包含用于校验所述请求地址合法性的参数的令牌和用于生成针对所述请求地址的地址签名的第一算法组；根据所述第一算法组以及所述请求地址，生成针对所述请求地址的第一地址签名；根据所述黑名单库、所述白名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求；如果是，拦截所述调用请求。

可见，在数据基础不强时，在黑白名单库无法识别并拦截恶意请求的情况下，可以继续通过令牌参数校验和签名校验，快速识别并拦截恶意请求，并且可以将用户信息添加进黑名单或白名单库中，从而使得接口防刷更为精准。

当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种针对接口的调用请求的处理方法的流程示意图；

图2为本发明实施例提供的一种针对接口的调用请求的处理装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面首先对本发明实施例提供的一种针对接口的调用请求的处理方法进行详细说明。

参见图1，图1为本发明实施例提供的一种针对接口的调用请求的处理方法的流程示意图，预先建立针对用户的黑名单库和白名单库；可以包括如下步骤：

S101，接收用户针对目标接口的调用请求，所述调用请求中至少包括请求地址；

具体的，用户针对目标接口的调用请求可以为人工的调用请求，例如登录12306网站、注册微博账号、获取激活码、点击活动链接等等，也可以为“机器”的调用请求，例如软件发起的恶意请求、撞库等等。撞库是一种针对数据库的攻击方式，方法是通过攻击者所拥有的数据库的数据，生成对应的字典表，攻击目标数据库，可以理解为用户在A网站被盗的账户密码来登陆B网站。由于很多用户在不同网站使用的是相同的账号密码，因此可以获取用户在B网站的用户账户从而达到目的。

具体的，调用请求中包含有请求地址。请求地址可以为URL地址，例如为：http://baike.***.com/link？url＝Q4GDs7P4zNqNSt78J8nnzA9HS5Ue-4xvatd2rzU2CH2XiLZDIbHpyV3IgJ1O2RMPdpqkXaWHWx7jl1sTNjaUTklR_qqDHeAblYcL0tVSPAi。

S102，获得至少包含用于校验所述请求地址合法性的参数的令牌和用于生成针对所述请求地址的地址签名的第一算法组；

具体的，令牌可以为token，第一算法组可以为JS SDK。前端向后台服务器请求token以及用于生成URL签名的JS SDK。通过后台的算法库随机获取多个签名算法的排列，得到第一算法组JS SDK。token中携带后台需要验证的部分信息，是URL合法性校验的一部分。算法库里算法越多，用户破解难度越大。

具体的，算法库主要追求算法数量，不需要过于复杂的加密算法，也可以节省机器的CPU消耗。比如不同盐值的MD5算法，可针对调用请求的各个因素做加密处理，比如接口名，参数列表等。输入是整个接口调用请求(URL)的所有信息。算法库可以包含JS SDK和对应的后端算法。

S103，根据所述第一算法组以及所述请求地址，生成针对所述请求地址的第一地址签名；

具体的，前端通过JS SDK和请求地址URL生成第一地址签名，并调用防刷后台，第一地址签名以及token作为参数同时传到防刷后台。

S104，根据所述黑名单库、所述白名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求；

具体的，该步骤可以包括：根据所述黑名单库，判断所述黑名单库中是否存在所述用户对应的标识信息；如果存在，确定所述调用请求为恶意请求；如果不存在，根据所述白名单库，判断所述白名单库中是否存在所述用户对应的标识信息；如果否，根据所述令牌中包含的参数，校验所述请求地址是否合法；如果不合法，确定所述调用请求为恶意请求；如果合法，根据所述请求地址、所述令牌包含的用于生成签名的参数以及所述第一算法组对应的第二算法组，生成第二地址签名；判断所述第二地址签名和所述第一地址签名是否相同；如果不相同，确定所述调用请求为恶意请求。

其中，后台可以根据用户是否在黑白名单库对调用请求做不同处理，比如白名单里的用户直接代理到业务接口，黑名单库用户直接返回错误信息等等。黑白名单库可以通过例如防刷平台访问日志、防刷***拦截日志以及其他业务日志等逐步建立与完善，随着黑白名单库中数据的积累也可以发挥越来越大的作用。

其中，可以选取可逆的加密算法生成token。算法可以破解难度较高为好，同时需兼顾服务器CPU使用问题，例如AES(高级加密标准)加密算法。token里可携带接口请求的部分信息，比如时间戳(timestamp)等。

其中，后端可以通过算法库中和JS SDK对应的后端算法、token以及URL生成第二地址签名，判断校验前端通过JS SDK生成的第一地址签名和第二地址签名是否相同，如果不同，说明调用请求为恶意请求，则会被拦截。例如第二地址签名为a：0f9de62fce790f9a083d5c99e95740ceb90c27ed，第一地址签名为b：0f9de62fce790f9a083d5c99e95740ceb90c06ab，两者不同，说明前端使用无效的签名，调用请求为恶意请求，则会被拦截。

具体的，在实际应用中，在将所述调用请求确定为恶意请求的次数到达预设第一次数的情况下，将所述用户对应的标识信息添加到所述黑名单库中。其中，第一预设次数可以为10次。

具体的，在实际应用中，在将所述调用请求确定为非恶意请求的次数到达预设第二次数、且所述白名单库中不存在所述用户对应的标识信息的情况下，将所述用户对应的标识信息添加到所述白名单库中。其中，第二预设次数可以为10次。

S105，如果是，拦截所述调用请求。

具体的，在判断调用请求为恶意请求的情况下，防刷后台可以拦截该调用请求。其中，拦截用户针对接口的调用请求属于现有技术，例如可以直接返回错误信息等，本发明实施例在此不对其进行赘述。

示例性的，防刷后台可以为安全防刷防盗链平台。其中，安全防刷防盗链平台搭建流程可以为：

建立算法库：算法库主要追求算法数量，不需要过于复杂的加密算法，也节省机器的CPU消耗。比如不同盐值的MD5(信息－摘要算法5)算法，可针对请求的各个因素做加密处理，比如接口名，参数列表等。输入是整个接口调用(url请求)的所有信息。算法库包含JS SDK和对应的后端算法；

建立反向代理流程：选择一个反向代理服务器，比如nginx服务器，选择一个适用于该服务器的语言，比如lua语言。对所需防刷的接口，可以通过nginx代理，在nginx转发之前利用lua做对应的防刷校验；

获得token：可以选取可逆的加密算法生成token，如AES(Rijndael加密算法)。算法以破解难度较高为好，同时需兼顾服务器CPU的使用问题。token里可携带接口请求的部分参数，比如时间戳等。

示例性的，在搭建完防刷后台后，可以使用该后台进行接口防刷。接口调用请求的防刷流程可以为：

需要请求的最终接口以及参数组成URL，防刷服务器域名为C，防刷接口为D。首先客户端向服务端请求token以及JS SDK，服务端返回的JS SDK将用于客户端生成URL签名，token需要客户端透传给服务端。可以向服务端请求C/D？url＝A&token＝token&sign＝0f9de62fce790f9a083d5c99e95740ceb90c27ed。服务端先判断token针对当次请求是否有效，比如是否还有时效。如果恶意刷接口的行为多次使用同一个token，这一步可以对恶意请求进行拦截。

如果客户端每次请求都使用实时token，token验证通过将进行JS SDK校验。JS SDK可以配合网站的相关插件使用，如果没有将不能被正确执行；如果恶意的接口调用请求没有破解JS SDK，那么恶意请求在该步骤将被拦截；如果破解JS SDK，那么本次请求成功，但是下次请求将重新计算JS SDK，由于JS SDK算法各不相同，客户端接口的恶意调用请求又需要重新破解，这种破解难度很大，每次破解所花时间也很客观，比正常流程的接口调用请求甚至要慢很多。

针对防刷接口的数据以及网站其他业务方的数据，可以根据用户的客户端ip信息、设备号等建立并更新黑白名单库，在黑名单中的用户可以直接被拦截，有些已知的重点用户为避免误伤，可以人工添加到白名单库中。

参见图2，图2为本发明实施例提供的一种针对接口的调用请求的处理装置的结构示意图，与图1所示的流程相对应，预先建立针对用户的黑名单库和白名单库；该处理装置可以包括：接收模块201、获得模块202、生成模块203、判断模块204、拦截模块205。

其中，接收模块201，用于接收用户针对目标接口的调用请求，所述调用请求中至少包括请求地址；

获得模块202，用于获得至少包含用于校验所述请求地址合法性的参数的令牌和用于生成针对所述请求地址的地址签名的第一算法组；

生成模块203，用于根据所述第一算法组以及所述请求地址，生成针对所述请求地址的第一地址签名；

判断模块204，用于根据所述黑名单库、所述白名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求；

具体的，判断模块204，具体可以用于：

如果存在，确定所述调用请求为恶意请求；

如果不合法，确定所述调用请求为恶意请求；

判断所述第二地址签名和所述第一地址签名是否相同；

如果不相同，确定所述调用请求为恶意请求。

拦截模块205，用于在判断所述调用请求为恶意请求的情况下，拦截所述调用请求。

具体的，针对接口的调用请求的处理装置，还可以包括第一添加模块(图中未示出)。

其中，第一添加模块，可以用于在将所述调用请求确定为恶意请求的次数到达预设第一次数的情况下，将所述用户对应的标识信息添加到所述黑名单库中。

具体的，针对接口的调用请求的处理装置，还可以包括第二添加模块(图中未示出)。

其中，第二添加模块，可以用于在将所述调用请求确定为非恶意请求的次数到达预设第二次数、且所述白名单库中不存在所述用户对应的标识信息的情况下，将所述用户对应的标识信息添加到所述白名单库中。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如：ROM/RAM、磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

1.一种针对接口的调用请求的处理方法，其特征在于，预先建立针对用户的黑名单库和白名单库；所述方法包括：

如果是，拦截所述调用请求。

2.根据权利要求1所述的方法，其特征在于，所述根据所述黑名单库、所述令牌和所述第一地址签名，判断所述调用请求是否为恶意请求，包括：

如果存在，确定所述调用请求为恶意请求；

如果不合法，确定所述调用请求为恶意请求；

判断所述第二地址签名和所述第一地址签名是否相同；

如果不相同，确定所述调用请求为恶意请求。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

5.一种针对接口的调用请求的处理装置，其特征在于，预先建立针对用户的黑名单库和白名单库；所述装置包括：

6.根据权利要求5所述的装置，其特征在于，所述判断装置，具体用于：

如果存在，确定所述调用请求为恶意请求；

如果不合法，确定所述调用请求为恶意请求；

判断所述第二地址签名和所述第一地址签名是否相同；

如果不相同，确定所述调用请求为恶意请求。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：