前端反作弊

前端js是解释型语言，用户可以直接获取到源码，容易作弊，比如直接修改血量(无限血量、永远不死)、直接刷接口(发奖)。针对这种现状，可以通过以下手段一定程度保证不出现事故。

• 接口隐藏能力：混淆、加密等手段增加破解接口的难度
• 异常感知能力：记录疑似作弊用户行为，超过阈值报警
• 一键止损能力：被爆破后，一键停服止损
• 快速升级能力：停服后能够迅速升级加密机制

接口隐藏能力：

• 前端代码混淆，让用户无法直接轻易读懂源码
• 接口内容加密：
  • request_path/request_body/response_body都采用aes256加密
  • 对称密钥隐藏&更新：
    • 初始密钥：首页加载时，请求服务端某个图片地址http://a.com/head.jgp，服务端把密钥追加在图片末尾
    • 后续密钥通过每个response更新, 本次request密钥来源于上次请求的reponse
• 迷惑性response: 不给前端返回任何错误信息，有可疑行为均记录服务端日志, 增加接口参数调试的迷惑性
• 杂音参数：每次请求可以添加n个无用的杂音参数，增加接口调试难度

异常感知能力：

• 记录用户可以行为
  • 解密失败
  • 奖励数据超过配置阈值
  • 阶段数据之和与总数不符合
• 定时扫描可以行为数据，绝对值、百分比，超过阈值则发送报警通知

一键止损能力：被爆破后，可以迅速拉黑用户、更换低价值配置数据、一键停服

快速升级能力：

• 停服后能够迅速升级加密机制，提前准备多套加密机制，发现问题后前端及时发版。
• 甚至可以，前端定期发版，更新加密机制，使现行的作弊手段失效