應用場景

由于手機APP或者類APP 產品是無狀態請求，如果攻擊者通過抓包或者反編譯掌握了APP接口地址或者接口格式，就可以進行DDos或者CC攻擊。對于這類攻擊，最大的難題在于如何識別真實的用戶。為了解決類似問題，億速云高防IP產品推出APP_TOKEN功能，旨在協助用戶更好實現APP產品的防護

實現原理

1. APP 每次啟動后，第一條請求 務必是向高防IP的校驗地址發送一條請求，并 同步等待 返回結果,如果校驗通過，則會將客戶端IP放入白名單，并將請求回源，APP正常啟動后，不用再次請求。
2. 如果校驗不通過，則返回403狀態.表明該IP為惡意IP，不再回源。
3. 如用戶端更換IP，則需要重新發送驗簽請求。

接入準備

1. APP產品: 需要在APP產品的每次啟動過程中增加一個請求，請求地址為：
   域名/app_token.ys?sign=AAA(AAA為具體的sign)

2. 開啟億速云高防IP的APP_Token功能。

操作流程

1. 在”網站防護” 下某個域名的 “設置”，選擇開啟 通訊加密 功能
   
   

2. 開啟后，會在 “高防IP”->詳細 中生成APP_TOKEN
   

3. APP 發送請求，如果校驗成功則返回true,失敗返回403

APP_TOKEN的例外鏈接設置

1. APP_TOKEN 開啟后，當有客戶端請求時，必須先進行驗簽，通過后才能繼續發送其他請求，否則就會被攔截。當用戶端更換IP時，也需要進行再次驗簽。

2. 但是對于某些鏈接url,如不希望受到上述規則的影響，則可以設置了APP_TOKEN的例外鏈接。在例外連接中的URI,不會受到APP_TOKEN規則影響。

3. 強烈建議，該功能需謹慎使用，如發現例外鏈接中的URI 被CC攻擊，請盡快進行移除。

4. 設置方式和uri格式要求。
   

5. 是URI而非帶參數的URL，參數默認會被忽略。

簽名規則和請求地址

1. 請求地址:域名/app_token.ys?sign=AAA(AAA為具體的sign)

2. sign規則:md5(日期+APP_TOKEN).日期格式為Y-m-d(如2020-12-07).

實戰代碼(PHP 版本)

<?php
$token='ys5fcde484435508.905595872046057';
$time = '2021-03-03';
echo $sign=md5('2021-03-03'.$token);
?>
//簽名:e1b830069e72a8d5659a793228d27b13
//請求地址:域名/app_token.ys?sign=e1b830069e72a8d5659a793228d27b13