为什么需要防刷接口参数校验
上线一款新活动,比如登录送金币、分享得奖励,结果第二天发现排行榜前十全是同一IP的账号,资源被薅得干干净净。这种情况在中小型游戏中太常见了,根本原因就是接口没做有效的防刷校验。
玩家不是来玩游戏的,是来“玩规则”的。只要你的接口对参数不设防,自动化脚本就能批量调用,轻轻松松把活动资源搬空。
常见的刷量手段
最基础的就是伪造请求参数。比如一个领取奖励的接口长这样:
POST /api/reward/get
Body: { user_id: 10086, reward_type: "gold", count: 100 }如果后端只认user_id,不做来源验证、频率控制和参数合法性检查,那写个脚本改改user_id就能无限刷金币。
还有更高级的,模拟设备指纹、伪造Token、批量注册小号,专门盯着高回报低门槛的接口猛刷。
参数校验怎么做才有效
第一层:基础类型和范围校验。比如reward_type只能是预设枚举值,count不能为负数或超大值。这能挡住最简单的乱填参数。
第二层:签名机制。把关键参数加上密钥做一次HMAC-SHA256,客户端和服务端各自计算比对。哪怕别人抓包看到参数,改一个字段签名就对不上。
<?php
$params = ["user_id" => 10086, "reward_type" => "gold"];
$sign = hash_hmac('sha256', http_build_query($params), $secret);
?>第三层:行为逻辑校验。比如分享领奖励,必须先有分享日志记录,再允许调用领取接口。没有前置动作,直接调用就判定为异常。
结合频率控制提升防护强度
单靠参数校验不够,还得加限流。同一个user_id,每小时最多领3次;同一IP,每天最多触发10次敏感操作。Redis计数器实现起来很简单,但能挡住大部分机器批量请求。
还可以引入设备ID绑定。首次请求时生成唯一device_id,后续所有操作都带上它。多个账号共用一个device_id,系统自动打标可疑。
别忘了服务端最终裁定权
前端传什么,后端就信什么,这是大忌。所有关键参数都要以服务端为准。比如客户端说“我完成了任务A”,服务端要查数据库确认是否真完成了,而不是直接发奖励。
有个团队曾吃过亏:任务完成接口接收一个is_finished字段,前端设true就给奖励。结果被人用浏览器调试工具改成true,白拿奖励好几天都没发现。
实际配置建议
在游戏服务器配置文件中,建议单独开一个security模块:
security:
enable_param_check: true
enable_sign_verify: true
reward_limit_per_hour: 3
ip_daily_limit: 10
strict_mode: false # 上线初期可关闭,观察日志上线前用Postman或自写脚本模拟攻击,看看能不能绕过校验。能绕过的,都不是真正的防护。