Q&A
何のために検知する必要があるのでしょうか?
クライアント側からapiサーバーにaxios通信でpostリクエストを送る際に,認証したユーザーからのリクエストかどうか判別するためにヘッダーに暗号化された認証トークンをつけて判別しています。
しかし、post内容がブラウザのdev toolから見えてしまうため、curlなどの"ブラウザ外からrequestを送れるもの"でheaderにdev toolでみた認証トークンを張り付けてブラウザから送ったように偽装できてしまいます。(認証トークンの有効期限は発行から1時間あります。)
認証トークンのおかげでどのユーザーが送ったかは判別できますが、そのユーザーが本当にブラウザから送ったかどうかはどうやって判別すればよいでしょうか?何か良い方法はありませんでしょうか。
ユーザーエージェントも偽装できてしまうので判別材料にできません...
POSTのbody部分を暗号化して送ることも考えましたが、結局その暗号化したデータをコピぺしてブラウザ外から送られてしまえばブラウザの手順を踏まずに不正に何度も同じリクエストを送れてしまいます。
ブラウザ外からかどうかの判別を可能にする方法はなにかないでしょうか。
どなたか通信に詳しい方、ご教授お願い致します。
同じリクエストをブラウザの手順を踏まず何度も送られてしまい、たとえばいいね数を+1するなどのリクエストを何度も送られた場合、不正に数を増やされてしまいます。
そもそもこうなるようなapiの構造自体まずいのでしょうか?
> ブラウザ外からかどうかの判別
これはあるわけないです。
やはりそうなんですね、無知でした。
ブラウザはあくまでリクエストを送るまでの補助ということですね
理解が深まりました。
> そもそもこうなるようなapiの構造自体まずいのでしょうか?
そのとおりです。
回答2件
0
ベストアンサー
完全な回答ではありませんが自分が経験した事例ですと
- API実行開始時に一度クライアント側から確認用のPOSTを送信してもらう、その際PC上の時間も送信してもらう
- サーバ側では確認用のPOST取得した際の時間とPC上の時間を保存
この誤差でクライアントとサーバの時間の同期をとる。
0. その後クライアント側からWeb APIに対してPOST送信する際は同じくPC上の時間も送信してもらう
0. サーバ側ではクライアントとの時間同期がとれているので一定以上差が開くと(15秒とか)処理をNGとする。
※ クライアント側から確認用のPOST情報は一定期間通信が無い場合(15分とか)削除
追記
※ pc時間はkeyなどとして一見時間の値だと判らないようにする
※ 確認用のPOSTも一定時間に数回送られて来たら(1分毎にとか)一定時間処理をNGとする。
これで単純なコピペでの送信をブロックした事があります。
仕組みは確かに解析すれば判るのですが、解析と再現に手間がかかるので有効と判断しました。
投稿2020/09/29 10:12
編集2020/09/29 10:29
総合スコア2506
0
精度を上げるならセッションやCaptchaと併用するとかでも効果はあるでしょう。
ただしブラウザに実装されているものは理論的には偽装できるんじゃないですかね?
投稿2020/09/29 09:58
編集2020/09/29 09:58
総合スコア114968
あなたの回答
tips
プレビュー
