金融貸超、貸款行業防止擼貸方案分析

瀏覽器環境過濾方式

多數擼貸擼友在貸超系統裏面抓取到甲方連接後， 經常經過微信好友、微信羣、qq 好友、qq羣 等方式進行發送傳播。

基於這個特性，那麼甲方借款系統能夠直接屏蔽，微信瀏覽器、qq瀏覽器環境已達到過濾的目的。

當時多數擼貸是造成本身平臺形式，經過系統瀏覽器打開，那麼這種狀況下徹底無力！

打開網站來源方式

Http協議頭中的Referer主要用來讓服務器判斷來源頁面, 即用戶是從哪一個頁面來的,一般被網站用來統計用戶來源,是從搜索頁面來的,仍是從其餘網站連接過來,或是從書籤等訪問。

基於這種方式 貸超能夠事先把，本身的域名提供給甲方系統，甲方系統，根據 Referer 進行判斷來源，對應開出去的連接用戶進到甲方系統之後，若是來源是貸超的域名，那麼認爲合法

不然非法。

這種方式表面看似沒有問題，實際上只要 擼貸平臺稍微懂點技術，那麼這種方式就是掩耳盜鈴之舉。 爲何這麼說呢緣由有幾個

1. 貸超提供域名那麼意味着貸超只能 網頁 或者 H5 形式，若是是原生的APP 是沒有 所謂打開域名的，因此也沒法提供域名。

2 . 即便是H5 或者 網頁形式 Http 協議本地是 Referer 就是能夠被任意篡改的，擼貸只要修改下協議頭把貸超的域名放到協議Referer 裏面，照樣完美提交。

簽名認證方式

簽名認證方式，就是 貸超 和 甲方 事先約定一個祕鑰。 而後貸超在提交給甲方的連接上 多加入一個參數 sign 作簽名。 甲方收到參數之後作認證校驗

具體的流程算法能夠舉例

1. 前期準備

   甲方給貸超的連接 渠道id = 123

   雙方約定（各自存取不能對外公佈） 祕鑰 key= ******

   簽名算法 sign = md5（time()+key+渠道id） （time 爲時間戳，加入time之後 sign 值隨着時間會變化，即便被擼貸抓到了，下一秒就變了）

2. 貸超簽名

   根據以上規則，在客戶點擊貸超連接時候 生成一個 sign 做爲參數 傳遞個甲方頁面。注意上面算法的時間錯 爲了準確。能夠統一從甲方系統請求獲取。

3. 甲方校驗

   等到請求打開甲方落地頁的同時，獲取到 sign 進行校驗

   校驗規則 通簽名規則，可是中間有個時間的差，因此時間作必定的漂移值處理。

   //漂移值爲10秒
    $flg = false;
     for( $i=-10 ;$i < 10;$i++){
       $time = time()+$i;
       $mySign = md5($time + $key+ $pid);
       if($sign == $mySign){
           $flg = true;
           break;
       }
    }
   if($flg){
     //校驗成功
   }

   此方式爲，在做用上，能夠徹底起到 杜絕擼貸的功能。 可是帶來了額外的問題也很突出

4. 貸超 和 甲方都須要技術層面

   每業務接入一次，須要對接一次簽名校驗，架設 貸超接入 100款甲方產品。那麼要寫一百遍相似算法。

   姑且咱們認爲 貸超實力夠強，貸超能夠去主導這個事情。那麼反過來甲方系統要對接不少貸超，甲方系統也要作不少遍這種重複，可是有算法不相同的公衆

   在目前這種市場狀況來看，大多數甲方，是用系統商的系統，貸超也是找外包開發的系統 狀況來看，要作這個事情幾乎不可能。

5. 即便已經按上面算法去作了，其實仍是存在 若是貸超的技術水平夠高，那麼他是否是能夠作個機器人。 默認人登陸進去系統之後。每次他平臺要數據的時候

   同時 到貸超平臺請求貸超平臺的算法去走一遍流程呢。答案也是確定的！（那若是這樣，繞了一大圈最終問題仍是沒有完全解決）

總結

這樣不行，那也有缺陷。那到底有沒有有一種方案能完全解決到這個問題，並且操做起來相對容易。答案也是確定的，那就是 資深金融大牛長期行業打磨思考 開發的一套中間平臺系統

《欣悅防擼系統》 來解決這個行業大疼點！