如何防止别人刷注册接口，求解决方案

@aeshfawre 请问 https 的 POST 请求是模拟不了吧？ 我之前截取某个 iOS APP 的包时候， https 里面参数都是乱码。

@Wongzigii 我司有设备识别的产品，不知道有兴趣么？

我们公司也出过这情况，后来加了图形验证码就好多了

一般加极验验证就好啦，没有人那么无聊刷这个

@jekkihun 一般 HTTPS 的直接中间人攻击啊。。。就算用双向验证都有相关解决方案（大不了越狱提取一下客户端证书。。。）

人家用脚本刷的，你 IDFA 有啥用，不都可以伪造么

@jekkihun 能啊，你看到是乱码，是因为你没有用中间人技术。

加防 csrf ，如果码对不上直接挂断。

1.加验证码
2.统计 ip ，限制次数

以前刷过美团大众之类的各种首单优惠，刷过滴滴 uber 新用户优惠，刷过积分墙。。。现在没有完美的验证设备的方法，通过设备信息限制没有用，要加上别的思路。。。

@ykrl089 CSRF 是最基本的吧。

一句话概括: 增加注册成本

如:
1. 上验证码, 图形, 滑动, 都可以, 推荐阿里云安全滑动验证码
2. CPU POW, 请求接口前, 先让 CPU 回答一个问题, 这个问题解题过程需要 3 秒左右
3. 付费注册, 或者先 OAuth 再注册

@jccg90
别公开说这些哦, 金额较大的薅羊毛要追加刑事责任

目前的短信厂商不是都需要你提供验证码的吗

@0x00 哈。。。刷首单之类的不是为了赚钱，是为了研究反作弊，不好好研究的话，被刷一轮要损失好多钱。。。这种事就要用黑客思维来思考。。。就像之前有不少电商公司出过支付 0.01 充值几百块的 bug ，这种问题只要稍微专业点的，都应该在开发设计中考虑到

@0x00 哈哈哈 POW 是我能想到的最好的解决方式

访问接口的时候需要带上加密手机号、内容、时间的 token ，后端解密