[发明专利]一种基于长连接的接口防刷方法及系统

说明书

本发明公开了一种基于长连接的接口防刷方法及系统，涉及网络安全技术领域。所述接口防刷方法，在请求访问业务接口之前，需要先建立长连接，通过长连接获取加密后的用户信息，并根据通过了鉴权的用户信息更新防刷服务器记录的用户状态，在进行业务接口访问请求时，需要先判断该用户信息是否与防刷服务器记录的用户状态匹配，有效避免了非法用户恶意刷接口的问题；该防刷方法无需进行大数据分析和全网IP扫描，提高了接口防刷效率，同时，该防刷方法采用长连接和鉴权策略双重防护，提高了接口防刷的精准度，避免了对正常用户的误伤。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于长连接的接口防刷方法及系统。

背景技术

随着移动通信的普及和网络的发展，客户端（如网站网页或APP）请求访问服务端接口的业务越来越多，恶意刷接口趁机盗取用户个人信息的现象也越来越严重，用户个人信息的泄露可能会导致用户财产损失，降低用户的业务体验感。

目前常用的接口防刷方法有：

1、通过提取用户行为特征码来判断是否为非法用户以及该非法用户的风险等级，例如腾讯公司通过提取QQ用户是否聊天、是否频繁加好友、是否被好友删除、是否开通QQ空间、开通qq空间评论数量等特征码，来制定黑名单以及相应的风险等级，但是该方法需要大规模的数据分析，对于中小公司难以实现。

2、通过识别是否为代理IP来判断是否为非法用户。识别是否为代理IP又有两种方法：一是反向探测技术，代理IP一般会开通80,8080等代理服务器经常开通的端口，而普通用户则不太会开通该类型的端口。例如，HTTP头部的XForwardedFor：开通了HTTP代理的IP可以通过此法来识别是不是代理IP，如果带有XFF信息，该IP是代理IP；又如Keep-alive报文：如果带有Proxy-Connection的Keep-alive报文，该IP是代理IP。二是通过业务建模收集恶意IP，然后再通过协议扫描的方式来判断这类IP是不是代理IP。代理IP的检测方法几乎是公开的，但是盲目去扫描全网的IP，撇开被拦截不说，效率也是一个很大的问题。

3、通过验证码来识别，例如常见的图形验证码、短信验证码，限制IP的方式对大区域网络公用IP不太友好，容易误伤，灰产业能轻易绕过。图形验证码不但可以机器学习自动识别，还能接入打码平台，短信验证码也有接码平台。但是通过验证码来识别非法用户，由于网络不可靠因素的影响，可能会误伤到正常用户，降低了防刷的精准度。

发明内容

针对现有技术的不足，本发明提供一种基于长连接的接口防刷方法，通过长连接服务器与客户端建立长连接，获取用户加密后的用户信息并更新防刷服务器记录的用户状态，当用户通过客户端向业务服务器发出业务请求时，先通过防刷服务器中该用户的用户状态判断该用户是否通过匹配，只有通过匹配的用户才能成功获取业务服务器的接口请求，防止非法用户刷业务服务器的接口，避免用户个人信息的泄露，无需大数据分析和全网IP扫描，提高效率，提高防刷精度。

本发明还提供一种基于长连接的接口防刷系统，客户端与长连接服务器之间建立长连接，通过长连接服务器将鉴权通过了的用户信息发送给防刷服务器并更新防刷服务器记录的用户状态，在用户向业务服务器发出访问业务接口请求时，通过与防刷服务器中用户状态匹配来判断是否允许该用户进行业务接口请求访问，避免非法用户恶意刷接口。

本发明是通过如下的技术方案来解决上述技术问题的：一种基于长连接的接口防刷方法，包括以下步骤：

步骤1：当长连接服务器与客户端建立长连接时，长连接服务器获取登录该客户端的用户加密后的用户信息；

步骤2：长连接服务器对步骤1加密后的用户信息进行鉴权，如果鉴权通过，则防刷服务器根据该用户信息更新防刷服务器记录的用户状态，否则，不更新防刷服务器记录的用户状态；