为了防止被恶意刷量，本能地想到要用限流。

当然，除了限流，还有其他的一些方式：

1.在前后端约定一套加密算法和一个密钥。

在前端把所有参数按照字母进行排序，再加上密钥生成一个签名，将其放在请求头里传给后端。

在后端用和前端一样的规则生成一个签名，如果两个签名对不上，很明显参数在传输的过程中被篡改了，可以直接拒绝，从而防止攻击者随意地修改参数来刷接口。

2.如果攻击者截获可一个合法的请求包，在改不了参数的懊恼下，他直接疯狂地重复发送这个包。这种攻击方式的解决办法是：

在后端先对时间戳进行校验，如果是超过了60秒的请求，则直接丢弃；

如果请求是在60秒以内的，再检查随机数是否在Redis中已经存在，如果是已经存在，说明这是个重复请求，直接拦截掉。

3.当系统检测到某个用户存在频率稍高，但是还没到限流阈值的异常行为或者在进行注册、领券等较为敏感的操作时，强制弹出滑块验证码，从而对人和脚本进行区分。

4.如果发现某个IP存在于IP黑名单或者用户的ID黑名单中，可以直接在网关层对这个IP进行封禁，不让它进入到业务层。