大家都知道,通过抓包软件(如Charles),可以在App运行时,很轻易的获取网络请求的API.如果有人恶意的不断向这个API发送请求,就有可能造成API的崩溃.为了防止这种攻击,可以在服务器进行处理.
服务端首先判断网络请求是否带有事先约定的唯一参数.符合情况的才会返回数据.这个参数也就是通常所谓的token,像Weibo接口的设计就采用这种方式.那么在自己的App中该如何实现呢?下面是我在项目实际开发中设计的方式.
网络请求防攻击的设计.png
发送请求时,先判断是否已经请求到token.如果没有token,转向请求token的接口请求token.这样设计,能能将恶意攻击集中到生成token的接口.然后在生成token的接口,与后台协调防止攻击的方式,如要求请求头需要添加特别的关键字.
PS:在swift3.0实现上述逻辑的过程中,有一些需要注意的坑:
1 URLSession的使用
func registerDevice() -> Void {
let device = UIDevice.current
let baseUrl = URL(string: "https://www.baidu.com" )!
let postRequest = NSMutableURLRequest(url: baseUrl)
postRequest.httpMethod = "POST"
let httpBody = "httpBody "
postRequest.httpBody = httpBody.data(using: String.Encoding.utf8)
//session实现同步请求
let semaphore = DispatchSemaphore(value: 0)
let session = URLSession.shared
//respose: 响应头 try的使用方法
let dataTask = session.dataTask(with: postRequest as URLRequest) { (data, respose, error) in
semaphore.signal()
if error != nil {
gxPrint(item: "设备注册请求错误:\nrespose:\(respose)\nerror:\(error)")
return
}
if data == nil {return}
do {
let dict = try JSONSerialization.jsonObject(with: data!, options: []) as! NSDictionary
if (dict["success"] as! Int) == 1 {
let token = dict["value"] as! String
// debugPrint("\(token)")
UserDefaults.standard.set(token, forKey: UserKeys.GXAppDevice_token)
UserDefaults.standard.synchronize()
}else {
//处理错误
} catch {}
}
dataTask.resume()
semaphore.wait()
}
swift3.0中session的dataTask方法需要将NSMutableURLRequest转化成URLRequest!
其中semaphore可以在URLSession中实现同步请求,参考:
http://blog.csdn.net/chwow/article/details/51537685
2 swift3.0中方法的名字和参数类型有很多变化.如果遇到很奇怪的问题,可以将正确的语法拷贝到工程项目中,点击XCode的自动修改.(我不会告诉你session的问题,让我纠结了一晚上).
由于工作的原因,对部分代码进行了删改.如果有什么异常,欢迎留言~
