防止接口被人恶意调用，有哪些可靠地方式？

App 或者网页都可以做一些用户行为手机分析，很多软件都干这事。
比如我要注册，那肯定要点击输入框，然后 balabalabala 账号，balabala 密码，然后点击注册，这里屏幕触摸很多，网页的话还能进行捕捉键盘，所有用户输入都能捕捉到，然后收集压缩加密发给服务器进行分析，就知道是真人还是假的人了。理论上还是可以破解，但是破解成本挺大的

HTTPS ?

@sculley HTTPS 只能防止传输过程中有人劫持修改，不能防止模拟请求

@odirus

“在应用存储区域写一个随机字符串文件，如果存在则在请求的时候发送这个；如果不存在，则生成后再携带发送。 ”
这样用 UUID/InstanceID 的做法比较能接受，但是如果要获取设备持久不可更改的识别码，一般来说，除去少量服务外是不能接受的。应用只能在一次安装到卸载为止的生命周期中识别特定设备。


“如果有哪些 IP + deviceId 违反了上面的规则，我就会对这台设备进行扣分”
挺好的做法

跟百度的 API 一样免费的有次数限制

HMAC 算法

阿里的 API 网关好像是后端加密之后放进 header 里面做一个转发。

@panpanpan 根据 key 和用户写日志啊，突发服务器资源吃紧的时候日志一目了然