金融贷超、贷款行业防止撸贷方案分析

浏览器环境过滤方式

多数撸贷撸友在贷超系统里面抓取到甲方连接后， 经常经过微信好友、微信群、qq 好友、qq群 等方式进行发送传播。

基于这个特性，那么甲方借款系统能够直接屏蔽，微信浏览器、qq浏览器环境已达到过滤的目的。

当时多数撸贷是造成本身平台形式，经过系统浏览器打开，那么这种状况下彻底无力！

打开网站来源方式

Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪一个页面来的,一般被网站用来统计用户来源,是从搜索页面来的,仍是从其余网站连接过来,或是从书签等访问。

基于这种方式 贷超能够事先把，本身的域名提供给甲方系统，甲方系统，根据 Referer 进行判断来源，对应开出去的连接用户进到甲方系统之后，若是来源是贷超的域名，那么认为合法

不然非法。

这种方式表面看似没有问题，实际上只要 撸贷平台稍微懂点技术，那么这种方式就是掩耳盗铃之举。 为何这么说呢缘由有几个

1. 贷超提供域名那么意味着贷超只能 网页 或者 H5 形式，若是是原生的APP 是没有 所谓打开域名的，因此也没法提供域名。

2 . 即便是H5 或者 网页形式 Http 协议本地是 Referer 就是能够被任意篡改的，撸贷只要修改下协议头把贷超的域名放到协议Referer 里面，照样完美提交。

签名认证方式

签名认证方式，就是 贷超 和 甲方 事先约定一个秘钥。 而后贷超在提交给甲方的连接上 多加入一个参数 sign 作签名。 甲方收到参数之后作认证校验

具体的流程算法能够举例

1. 前期准备

   甲方给贷超的连接 渠道id = 123

   双方约定（各自存取不能对外公布） 秘钥 key= ******

   签名算法 sign = md5（time()+key+渠道id） （time 为时间戳，加入time之后 sign 值随着时间会变化，即便被撸贷抓到了，下一秒就变了）

2. 贷超签名

   根据以上规则，在客户点击贷超连接时候 生成一个 sign 做为参数 传递个甲方页面。注意上面算法的时间错 为了准确。能够统一从甲方系统请求获取。

3. 甲方校验

   等到请求打开甲方落地页的同时，获取到 sign 进行校验

   校验规则 通签名规则，可是中间有个时间的差，因此时间作必定的漂移值处理。

   //漂移值为10秒
    $flg = false;
     for( $i=-10 ;$i < 10;$i++){
       $time = time()+$i;
       $mySign = md5($time + $key+ $pid);
       if($sign == $mySign){
           $flg = true;
           break;
       }
    }
   if($flg){
     //校验成功
   }

   此方式为，在做用上，能够彻底起到 杜绝撸贷的功能。 可是带来了额外的问题也很突出

4. 贷超 和 甲方都须要技术层面

   每业务接入一次，须要对接一次签名校验，架设 贷超接入 100款甲方产品。那么要写一百遍相似算法。

   姑且咱们认为 贷超实力够强，贷超能够去主导这个事情。那么反过来甲方系统要对接不少贷超，甲方系统也要作不少遍这种重复，可是有算法不相同的公众

   在目前这种市场状况来看，大多数甲方，是用系统商的系统，贷超也是找外包开发的系统 状况来看，要作这个事情几乎不可能。

5. 即便已经按上面算法去作了，其实仍是存在 若是贷超的技术水平够高，那么他是否是能够作个机器人。 默认人登陆进去系统之后。每次他平台要数据的时候

   同时 到贷超平台请求贷超平台的算法去走一遍流程呢。答案也是确定的！（那若是这样，绕了一大圈最终问题仍是没有完全解决）

总结

这样不行，那也有缺陷。那到底有没有有一种方案能完全解决到这个问题，并且操做起来相对容易。答案也是确定的，那就是 资深金融大牛长期行业打磨思考 开发的一套中间平台系统

《欣悦防撸系统》 来解决这个行业大疼点！