阿里云的数据风控试用总结

使用背景：由于一款游戏经常会被盗号，小号肆虐，会对游戏的正常运营产生很负面的影响，急需找一款风控产品来解决这个问题。

那么，这些行为都有哪些特征呢？

盗号，基本都是暴力破解，撞库后异地登录；工作室操控海量小号，那么，基本是会用脚本去处理，不会触碰到页面(也就是非真人登录)，而且很有可能会共用相同的IP。

业务风控

业务风控，包含：注册防控、登录防控、活动防控、消息防控和其他风险防控，通过用户行为、软硬件环境信息、设备指纹、业务基础信息综合判定用户请求的风险程度。

WEB网页：页面引入JS脚本，服务端调用业务风险防控API获得风险结果。
移动端HTML5页面：页面引入JS脚本，服务端调用业务风险防控API获得风险结果。
Android/iOS：客户端集成SDK组件，服务端调用业务风险防控API获得风险结果。

如何集成代码? 拿登录防控举例子.

参考:应用代码集成

客户端页面这边写得很清楚，主要修改了以下:

<script>pointman.use('do', function () {var afs = pointman.getConfig();var afs_appkey = afs.appkey;var afs_scene = afs.scene;var afs_token = afs.token;console.log('afs_appkey: ' + afs_appkey);console.log('afs_scene: ' + afs_scene);console.log('afs_token: ' + afs_token);//document.getElementById('afs_scene').value = afs_scene;//document.getElementById('afs_token').value = afs_token;window.localStorage.setItem("afs_scene",afs_scene);window.localStorage.setItem("afs_token",afs_token);});
</script>

以上这段写在body体里。

获取的时候，这样获取:

//发送AJAX请求
$.post(url, {"userName" : username,
"password" : $.md5(password),
"token":window.localStorage.getItem("afs_token")})

服务端，在你自己的LoginController中，接到请求后，访问登录防控API,我们用的是web方式:

@Service
public class PreventionManager {private static final Logger logger = LogManager.getLogger(PreventionManager.class);IAcsClient client = null;public void init() {IClientProfile profile = DefaultProfile.getProfile("cn-hangzhou", "ACCESS_KEY","ACCESS_SECRET"); // YOUR ACCESS_KEY、YOUR// ACCESS_SECRET请替换成您的阿里云accesskey// id和secretclient = new DefaultAcsClient(profile);try {DefaultProfile.addEndpoint("cn-hangzhou", "cn-hangzhou", "Jaq", "jaq.aliyuncs.com");} catch (ClientException e) {logger.error(e.getMessage(), e);}}public void handleLogin(HttpServletRequest req, String jsToken) {User user = SessionUtil.getCurrentUser();LoginPreventionRequest request = new LoginPreventionRequest();// 必填参数request.setPhoneNumber("");request.setIp(user.getLastLoginIp());request.setProtocolVersion("1.0.1");request.setSource(1); // 登录来源。1：PC网页；2：移动网页；3：APP;4:其它request.setJsToken(jsToken); // 对应前端页面的afs_token，source来源为1&2&4时，必填;// request.setSDKToken(""); //对应sdk中获取的wtoken，source来源为3时，必填;// 选填参数request.setEmail(user.getEmail());request.setUserId(String.valueOf(user.getId()));//【phone_number ,email, (user_id,id_type)三种必选其一】request.setUserName(user.getName());request.setIdType(1);request.setCurrentUrl(req.getRequestURI());// request.getServletPath()request.setAgent(req.getHeader("User-Agent"));request.setCookie(req.getCookies()[2].getValue());request.setSessionId(req.getRequestedSessionId());// request.setMacAddress("");request.setReferer(req.getHeader("referer"));//request.setActionName("login.do");//LoginPreventionrequest.setRegisterIp(user.getLastLoginIp());request.setRegisterDate(1L);request.setAccountExist(1);request.setLoginType(1);request.setPasswordCorrect(1);try {LoginPreventionResponse response = client.getAcsResponse(request);Data data=response.getData();//这里你根据获得的风险报告，可以做一系列的策略，比如封号，封IP，给注册的玩家手机号发消息等logger.debug("ip={},token={},data={}",request.getIp(),jsToken, ToStringBuilder.reflectionToString(data, ToStringStyle.SHORT_PREFIX_STYLE));} catch (Exception e) {logger.error(e.getMessage(),e);}}
}

按如下校验接入是否成功:

3. 接入成功校验：打开浏览器控制台（F12开发者工具），在页面上移动鼠标、点击键盘：

a. 控制台收到analyze.jsonp请求(多个)；

b. 在Headers - Query String Paraments 里看到：n、a、t、asyn、scene等参数；

c. 双击analyze.jsonp请求，获得onJSONPCallback({"result":0,"success":true})。

Query String parameters

n:098#E1hv29vCvv6v9vCkvvv2vjtnRL5Usji8Ph9EHc3Po2MU2cn2R2zZ1jr8RFQx0jgqoFMWHcYWRhMyCcgMRLQXCpGzoLFZzjtnoL6BljiURF6X2cDEPFZxsjyMRhGEgjEvohMpsviRP6qwtjgYnLzp2crEPyzZHpY8oFZEtjYPPFFUAv9MR6GHQjEmLLMZHpGqdphvmpvUsvm6rvC9X9==
a:FFFF00000000017A71A3
t:0#FFFF00000000017A71A31518436742848778015284351518510055370901535523100CBE37C32C8041510160E65EA33E434D9A5A50FAD8B45753B1D51261FC2029E32F4DB892CD43AD3E795C914C022F5EDEA9B9402422C77DA090F35ED4
asyn:0
scene:login
callback:_uab_jsonp46500

试验，故意不断换IP频繁登录,从数据风控报表页能实时看到一些报告:

目前该系统比较让用户失望的是风险报告里没提供任何风险提示的内容，这点腾讯云做的就比较到位。

参考:

数据风控

【阿里聚安全技术公开课】业务安全及防护（数据风控）

腾讯相对应的就是天御系统的登录保护

腾讯的MTP

腾讯的灯塔

阿里云的数据风控试用总结相关推荐

阿里云最新可申请试用云产品汇总（免费领阿里云服务器）
有不少用户在付费购买阿里云产品之前,都希望先试用下阿里云产品,目前,阿里云官网开启试用中心,只需0元即可试用阿里云ECS云服务器.云数据库.云安全等云产品,完成个人和企业实名认证即可领取.其中用户最为 ...
4G模块接入阿里云-实现数据上传和命令下发
功能介绍: 使用4G模块EC600S和32单片机实现接入阿里云服务器,上传光照数据和下发命令控制LED灯(PC13),同时可以打电话.发短信. 前期准备: 1.首先你得有一个阿里云的账号,没有的话就注 ...
阿里云城市数据大脑开发规范
课程链接:阿里云城市数据大脑开发规范本课程是阿里云城市大脑相关开发规范. 2016年10月13日,阿里巴巴集团技术委员会主席王坚在杭州云栖大会上面向全球发布城市数据大脑.城市数据大脑是一座城市的人工 ...
自建Hive数据仓库跨版本迁移到阿里云Databricks数据洞察
简介:客户在IDC或者公有云环境自建Hadoop集群构建数据仓库和分析系统,购买阿里云Databricks数据洞察集群之后,涉及到数仓数据和元数据的迁移以及Hive版本的订正更新. 直达最佳实践:[自 ...
阿里云交通数据中台解决方案，打造“数字化生产力”
简介:在交通行业中,阿里云不仅具备成熟的方法论和工具,还联合高德.支付宝.阿里达摩院等,构成了一个内部协同生态,外部也积极与生态伙伴展开合作,全方位渗透交通各个领域和场景,是建设智能计算和催生智能分析 ...
阿里云深圳数据中心正式开放
阿里云深圳数据中心正式开放 8月29日,阿里云深圳数据中心正式开放运营,这是继杭州.青岛.北京.香港之后,我们在全球开放的第五个数据中心. 深圳数据中心主要辐射以深圳.广州为中心的华南区域,以满足 ...
阿里云对数据可靠性保障的一些思考
背景互联网时代的数据重要性不言而喻,任何数据的丢失都会给企事业单位.政府机关等造成无法计算和无法弥补的损失,尤其随着云计算和大数据时代的到来,数据中心的规模日益增大,环境更加复杂,云上客户群体越来越 ...
阿里云交通数据中台解决方案打造“数字化生产力”
数字经济时代,计算.分析.处理等作为"关键生产要素"已成为行业和社会的共识.但是对于交通领域而言,以往端到端的方式进行平台搭建和应用开发已不能适应数字爆炸和产品快速迭代的要求.交通 ...
阿里云智能数据构建与管理 Dataphin公测，助力企业数据中台建设
2019独角兽企业重金招聘Python工程师标准>>> 阿里云智能数据构建与管理 Dataphin (下简称"Dataphin")近日重磅上线公共云,开启智能研发 ...

阿里云的数据风控试用总结

业务风控

阿里云的数据风控试用总结相关推荐

最新文章

热门文章