金融贷超、贷款行业防止撸贷方案分析

浏览器环境过滤方式

多数撸贷撸友在贷超系统里面抓取到甲方链接后， 常常通过微信好友、微信群、qq 好友、qq群 等方式进行发送传播。

基于这个特性，那么甲方借款系统可以直接屏蔽，微信浏览器、qq浏览器环境已达到过滤的目的。

当时多数撸贷是形成自己平台形式，通过系统浏览器打开，那么这种情况下完全无力！

打开网站来源方式

Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问。

基于这种方式 贷超可以事先把，自己的域名提供给甲方系统，甲方系统，根据 Referer 进行判断来源，对应开出去的链接用户进到甲方系统以后，如果来源是贷超的域名，那么认为合法

否则非法。

这种方式表面看似没有问题，实际上只要 撸贷平台稍微懂点技术，那么这种方式就是掩耳盗铃之举。 为什么这么说呢原因有几个

1. 贷超提供域名那么意味着贷超只能 网页 或者 H5 形式，如果是原生的APP 是没有 所谓打开域名的，所以也无法提供域名。

2 . 即使是H5 或者 网页形式 Http 协议本地是 Referer 就是可以被任意篡改的，撸贷只要修改下协议头把贷超的域名放到协议Referer 里面，照样完美提交。

签名认证方式

签名认证方式，就是 贷超 和 甲方 事先约定一个秘钥。 然后贷超在提交给甲方的链接上 多加入一个参数 sign 做签名。 甲方收到参数以后做认证校验

具体的流程算法可以举例

1. 前期准备

   甲方给贷超的链接 渠道id = 123

   双方约定（各自存取不能对外公布） 秘钥 key= ******

   签名算法 sign = md5（time()+key+渠道id） （time 为时间戳，加入time以后 sign 值随着时间会变化，即使被撸贷抓到了，下一秒就变了）

2. 贷超签名

   根据以上规则，在客户点击贷超链接时候 生成一个 sign 作为参数 传递个甲方页面。注意上面算法的时间错 为了准确。可以统一从甲方系统请求获取。

3. 甲方校验

   等到请求打开甲方落地页的同时，获取到 sign 进行校验

   校验规则 通签名规则，但是中间有个时间的差，所以时间做一定的漂移值处理。

     //漂移值为10秒
    $flg = false;
     for( $i=-10 ;$i < 10;$i++){
       $time = time()+$i;
       $mySign = md5($time + $key+ $pid);
       if($sign == $mySign){
           $flg = true;
           break;
       }
    }
   if($flg){
     //校验成功
   }
   

   此方式为，在作用上，可以完全起到 杜绝撸贷的功能。 但是带来了额外的问题也很突出

4. 贷超 和 甲方都需要技术层面

   每业务接入一次，需要对接一次签名校验，架设 贷超接入 100款甲方产品。那么要写一百遍类似算法。

   姑且我们认为 贷超实力够强，贷超可以去主导这个事情。那么反过来甲方系统要对接很多贷超，甲方系统也要做很多遍这种重复，但是有算法不相同的公众

   在目前这种市场情况来看，大多数甲方，是用系统商的系统，贷超也是找外包开发的系统 情况来看，要做这个事情几乎不可能。

5. 即使已经按上面算法去做了，其实还是存在 如果贷超的技术水平够高，那么他是不是可以做个机器人。 默认人登录进去系统以后。每次他平台要数据的时候

   同时 到贷超平台请求贷超平台的算法去走一遍流程呢。答案也是肯定的！（那如果这样，绕了一大圈最终问题还是没有彻底解决）

总结

这样不行，那也有缺陷。那到底有没有有一种方案能彻底解决到这个问题，而且操作起来相对容易。答案也是肯定的，那就是 资深金融大牛长期行业打磨思考 开发的一套中间平台系统

《欣悦防撸系统》 来解决这个行业大疼点！