除了“监控回复并匹配欺诈模式”之外,我还没有找到任何其他解决方案。
假设我制作了一个客户端HTML / JS技能游戏,左右移动蝴蝶网以捕捉坠落的星星。
在游戏结束时,JS向服务器发送请求,如
{
"stars_collected":30,
"user_id":38194723,
"session_id":'dDhw83hDEknd83y727dhd'
}
这会发送到https://example.com/api/star_catch_level_complete
没有什么可以阻止客户端发送最终用户写的欺诈性http请求
{
"stars_collected":9999999999999,
"user_id":38194723,
"session_id":'dDhw83hDEknd83y727dhd'
}
现在,显然,服务器端可以减轻一些事情,例如总是拥有最多可获得的星数等。
我的问题是,请求中的数据能否以某种方式进行编码/签名,以便最终用户永远无法真正了解level_complete请求的制定方式?