技术抢名额心得
来自ling
技术抢名额心得
抢票难点
- 高并发下打不开网站-->本地缓存网站资源,非关键请求通过mock或创建java应用然后通过nginx转发的方式来实现本地对关键请求的本地化代替
- 有图形验证码或短信验证-->只需要填写验证码或填写短信验证即可自动提交报名请求,页面需要录入的数据事先准备好.
心得
- 技术第一,人工录入页面都打不开
- 网址基本都是可以破解的,编译后的网站难度较大,老的技术漏洞太多.
- 去掉验证后只需要关注最后提交动作的enroll提交的数据是否正确即可
- 有复杂的验证码和短信验证,任然需要人工的参与,但去掉录入数据的时间,任然优势是最大的,而且可以重复提交数据.
- 不知道什么机制,到点要需要刷新页面然后点验证码,收到短信后仍然需要在页面提交
- postman提交会被提示调用请求非法,hosts代理网址xxx.xxx.xxx才是王道,所以从侧面提示api的地址和网页的地址必须是一个,不然还是有问题,当然,如果api和网页一个地址任然可以通过 代理处理,但却可以过滤掉一部分技术人员
- 图形验证码的返回可以反复用来发短信,不用再做图形验证
- "captcha": "验证码","randSuffix": "手机号码"
- 提前2个小时需要检查破解的网站是否有更新,是否会影响上面的大原则
- 前后端分离页面必然的问题
- 关键页面的服务端渲染
- 关键业务的重复性验证,比如短信,报名
- 高并发时缓存,甚至是内存缓存的应用,不把压力放到数据库上
- 关键业务,对请求来源的验证,如referer,origin等浏览器安全的设置
- 其实我们的请求基本离安全还是有很多的距离
- 如何在架构层面做到用户操作的数据是自己能操作的数据,并且调用的api是这个api应该做的事情.
- 如何在业务接口上对数据操作权限和api