16,553
社区成员
发帖
与我相关
我的任务
分享如何防止webservice被非法调用?
webservice在被调用的时候,可以用soap,来防止非法访问
但是 大家都知道 无论是 web还是 winform 都是很容易被反编译的
这样很容易获得 soap设置,也就很容易被 模拟访问
无论怎么处理都绕不过这个部分。
如何解决这个问题,请给出思考方向。
但是 大家都知道 无论是 web还是 winform 都是很容易被反编译的
这样很容易获得 soap设置,也就很容易被 模拟访问
无论怎么处理都绕不过这个部分。
如何解决这个问题,请给出思考方向。
...全文
请发表友善的回复…
发表回复
红衣老大 2016-08-01
- 打赏
- 举报
"想用技术来解决非技术问题",这个很准确,一下就看明白了,是我钻牛角尖了。
另外 对于 @sp1234 ,还是很感谢的,以前也没少回复,混CSDN很久了,对于你给答案的风格还是理解的。
你,以专业开发人员为伍。
但,业余开发人员,不该死,不该饿死,不改难死,也可以来这里。
而我,恰好是一个业余技术人员,
由爱好开始,因生活而续。
有这个生活宽裕,没这个也不至于拮据。
上不去人工智能,那就用人工完成。
对于我,还是比作业党、伸手党,好一些的,出身草莽,用我原始的技巧,理解VR实现确实很难。
看见街边一个真正的乞丐,我可以给钱,我也可以给馒头,我也可以绕行,但我没资格骂他,我也没能力开导他,使他自食其力。
by_封爱 2016-08-01
- 打赏
- 举报
这个有心人对你说3次"我爱你" 你是不是就会升仙啊?
Poopaye 2016-07-31
- 打赏
- 举报
不能用用户名密码,那就手机号+验证码
或者装个指纹传感器也行啊
在低级点用ip做限制
反正总要有个不是存在客户端的,只有使用者本人才有的、唯一的东西来验证
没有就洗洗睡吧
software_artisan 2016-07-31
- 打赏
- 举报
楼主你这个问题一个IP白名单就好了嘛
红衣老大 2016-07-31
- 打赏
- 举报
还有,我问的是这个事,不是我的事情能设计多少人民币,会不会有人有心情来搞我。
〉〉
还有,我问的是这个事,不是我的事情能涉及多少人民币,会不会有人有心情来搞我。
红衣老大 2016-07-31
- 打赏
- 举报
重新更具体的描述一下吧,以考试为例
考试大家都知道,打开考试端,从上级读取试题,显示出来,作答后,将考试的结果上传。这是一个标准的过程
但我不希望,“有心人”,模拟身份,模拟客户端,从上级读取试题,然后作答,最后提交。
那么
1、这里不能使用用户名密码,学生倒是可以用学号登陆,但是“有心人” 一样可以用,这个方案就没有作用@shingoscar
2、内容方面https,加密,我倒是知道的,但模拟客户端也可以用https @sp1234 ,token也是类似@xuanbg
3、“开放API” 这个名称,并不是用这个环境,虽然可读取,但只能是 指定“客户端“,才能读取,而不是 任意链接都可以
4、我曾经想过用MD5验证提交数据程序的身份,以前网络游戏防止外挂,也是这么用的,不是还有些专门的扫描程序么,不过在我这里没用,还没高大上的那个层次。
最后,其实可以在提交数据的时候,处理一下,比如加密,到服务器解开,验证一下,但加密过程2个条件,1、加密方法,2、KEY。 但这2个都是可以被看到的。
还有,我问的是这个事,不是我的事情能设计多少人民币,会不会有人有心情来搞我。
我发这个帖子,也是想问问,你们有没有别的处理方案。
圣殿骑士18 2016-07-31
- 打赏
- 举报
p哥说的对,为什么“学生可以用学号登陆,但是“有心人” 一样可以用”?你的意思是,学生自己透露学号和密码给别人吗?
这就不是技术问题范畴了,你想用技术来解决非技术问题,这根本就不合适。
举个例子,就算你做IP白名单,就算你加指纹验证,学生他就叫一个帮手在身边,他自己先登录,然后帮手来答题,你能怎么办?
只能开视频远程监控了!然后问题又来了,“有心人”开模拟视频怎么办?继续死循环
以专业开发人员为伍 2016-07-31
- 打赏
- 举报
技术没有绝对,任何技术都有毛病、都会被淘汰。
但是问题是,如果你只抄一点皮毛的东西之后就会“损”到技术设计本身,这种问题就种植在心里,而跟技术其实无关。
你这个问题不仅仅是针对 webservice,任何一种 service 接口只要开放给客户端编程、都会你如此这般地纠缠和诋毁。你自己看看自己的逻辑就明白了。
以专业开发人员为伍 2016-07-31
- 打赏
- 举报
说具体技术就外道了。我发现,你不是不知道堆砌技术名词,而是要套取更多的技术名词、然而自己根本不理解背后的理念。
所以你若不理解理念,就不告诉你具体的技术!
以专业开发人员为伍 2016-07-31
- 打赏
- 举报
按照你的说法,淘宝网随便一个“有心人”就能修改你的订单、用你的账号付款了?
按照你的说法,微信既然有多个开放平台,那么“有心人”就一定能用你的微信号、公众号、支付密码来随便提交信息了?
...........................
你是一丁点都没有搞懂。而且也没有能力去理解这些。
software_artisan 2016-07-30
- 打赏
- 举报
如果是开放的API(无需验证身份即可调用),那么你就不要操心什么非法调用的问题了。如果是私有的API(对用户而言),加上身份验证就可以了。简单的就是登录后给客户端发个token,客户端调用接口时带着这个token用来验证身份即可。
以专业开发人员为伍 2016-07-30
- 打赏
- 举报
“无论怎么处理都绕不过这个部分”
很简单,有的人就是绕不过简单的东西,这是事实。因为人都喜欢呆在象牙塔里边,你可吃咸菜度日,也不出来。
以专业开发人员为伍 2016-07-30
- 打赏
- 举报
纠结“反编译”说明你是做单机小程序的。
通讯方面,如果非要“加密”,可以直接使用 https 协议(SSL),而程序并不需要做任何修改。
而在更大的方面,所谓“反编译”的理念方面,如果你是做一个系统的,那么你的“开放API”本来就应该开放的,任何人都能来编写客户端程序跟它联网。此时你的所谓“生怕反编译”的想法是不是会有一点改变呢?
为什么一个淘宝网的截止到目前其网页不需要“编译”,而阿里巴巴的公司做的还比你接触的其它公司的规模还大?为什么纠结淘宝网的“网页用户登录、网页用户支付”不安全的人,反而做不到人家的规模呢?
反编译是用在极个别场合,也并不是说不用考虑。就好像有些老农宁愿把人民币埋在自家种的地里的瓦罐里,也不存银行曝光。不是说永远不考虑,但是是极个别的场合,极个别的人需要它。
Poopaye 2016-07-30
- 打赏
- 举报
你是没听说过用户名和密码这两样东西吗?
