瀏覽器環境過濾方式
多數擼貸擼友在貸超系統里面抓取到甲方鏈接后, 常常通過微信好友、微信群、qq 好友、qq群 等方式進行發送傳播。
基於這個特性,那么甲方借款系統可以直接屏蔽,微信瀏覽器、qq瀏覽器環境已達到過濾的目的。
當時多數擼貸是形成自己平台形式,通過系統瀏覽器打開,那么這種情況下完全無力!
打開網站來源方式
Http協議頭中的Referer主要用來讓服務器判斷來源頁面, 即用戶是從哪個頁面來的,通常被網站用來統計用戶來源,是從搜索頁面來的,還是從其他網站鏈接過來,或是從書簽等訪問。
基於這種方式 貸超可以事先把,自己的域名提供給甲方系統,甲方系統,根據 Referer 進行判斷來源,對應開出去的鏈接用戶進到甲方系統以后,如果來源是貸超的域名,那么認為合法
否則非法。
這種方式表面看似沒有問題,實際上只要 擼貸平台稍微懂點技術,那么這種方式就是掩耳盜鈴之舉。 為什么這么說呢原因有幾個
- 貸超提供域名那么意味着貸超只能 網頁 或者 H5 形式,如果是原生的APP 是沒有 所謂打開域名的,所以也無法提供域名。
2 . 即使是H5 或者 網頁形式 Http 協議本地是 Referer 就是可以被任意篡改的,擼貸只要修改下協議頭把貸超的域名放到協議Referer 里面,照樣完美提交。
簽名認證方式
簽名認證方式,就是 貸超 和 甲方 事先約定一個秘鑰。 然后貸超在提交給甲方的鏈接上 多加入一個參數 sign 做簽名。 甲方收到參數以后做認證校驗
具體的流程算法可以舉例
-
前期准備
甲方給貸超的鏈接 渠道id = 123
雙方約定(各自存取不能對外公布) 秘鑰 key= ******
簽名算法 sign = md5(time()+key+渠道id) (time 為時間戳,加入time以后 sign 值隨着時間會變化,即使被擼貸抓到了,下一秒就變了)
-
貸超簽名
根據以上規則,在客戶點擊貸超鏈接時候 生成一個 sign 作為參數 傳遞個甲方頁面。注意上面算法的時間錯 為了准確。可以統一從甲方系統請求獲取。
-
甲方校驗
等到請求打開甲方落地頁的同時,獲取到 sign 進行校驗
校驗規則 通簽名規則,但是中間有個時間的差,所以時間做一定的漂移值處理。
//漂移值為10秒 $flg = false; for( $i=-10 ;$i < 10;$i++){ $time = time()+$i; $mySign = md5($time + $key+ $pid); if($sign == $mySign){ $flg = true; break; } } if($flg){ //校驗成功 }此方式為,在作用上,可以完全起到 杜絕擼貸的功能。 但是帶來了額外的問題也很突出
-
貸超 和 甲方都需要技術層面
每業務接入一次,需要對接一次簽名校驗,架設 貸超接入 100款甲方產品。那么要寫一百遍類似算法。
姑且我們認為 貸超實力夠強,貸超可以去主導這個事情。那么反過來甲方系統要對接很多貸超,甲方系統也要做很多遍這種重復,但是有算法不相同的公眾
在目前這種市場情況來看,大多數甲方,是用系統商的系統,貸超也是找外包開發的系統 情況來看,要做這個事情幾乎不可能。
-
即使已經按上面算法去做了,其實還是存在 如果貸超的技術水平夠高,那么他是不是可以做個機器人。 默認人登錄進去系統以后。每次他平台要數據的時候
同時 到貸超平台請求貸超平台的算法去走一遍流程呢。答案也是肯定的!(那如果這樣,繞了一大圈最終問題還是沒有徹底解決)
總結
這樣不行,那也有缺陷。那到底有沒有有一種方案能徹底解決到這個問題,而且操作起來相對容易。答案也是肯定的,那就是 資深金融大牛長期行業打磨思考 開發的一套中間平台系統
《欣悅防擼系統》 來解決這個行業大疼點!