我使用Express.js和socket.io(此处可用)创建了一个简单的Node.js应用程序,用户单击一个按钮,它会在页面上增加一个数字。此数字还会在连接到该页面的所有客户端之间实时递增。我正在使用网络套接字和socket.io来获得客户端-服务器通信和实时号码更新系统。
我正在使用防洪模块将套接字发射限制在每秒5次,但这确实不会让游戏变得很有趣,因为你每秒的点击量很低,黑客只需使用setInterval,即使在如此低的速度下,仍然可以自动取得相当大的进步。
我的问题:
-
我不希望用户必须对自己进行身份验证-任何人都应该可以玩!
-
如果可能的话,我希望点击率保持在每秒15次左右。
-
我不希望人们能够发送套接字消息并自动点击浏览器控制台上的按钮。
下面是程序:
index.js
var express = require("express");
var http = require("http");
var socketIO = require("socket.io");
var path = require("path");
var fs = require("fs");
var FloodProtection = require("flood-protection").default;
__dirname = path.resolve();
function btoa(str) {
return new Buffer(str, 'latin1').toString('base64');
};
function atob(b64Encoded) {
return new Buffer(b64Encoded, 'base64').toString('latin1');
};
var app = express();
app.get("/", function(req, res){
res.sendFile(__dirname + "/index.html");
});
var temp;
num = temp | parseInt(atob(fs.readFileSync("num.txt"))) | 0
var server = http.createServer(app);
var io = socketIO.listen(server, {log: true});
io.sockets.on("connection", (socket) => {
protector = new FloodProtection({rate: 5, per: 1})
io.sockets.emit("update", num);
socket.on("push", (value) => {
if (protector.check()) {
num++;
temp = num
io.sockets.emit("update", temp);
} else {
io.sockets.emit("update", "You can only click the button five times per second.")
socket.disconnect(2)
setTimeout(()=>{}, 3000)
}
});
socket.on("disconnect", () => {
fs.writeFile("num.txt", btoa(String(temp)), (err) => {
if (err) throw err;
console.log("saved | new num: " + temp);
})
})
});
server.listen(5000);
index.html
<html>
<head>
<title>A Button</title>
</head>
<body>
<button onclick='push();'>Click me!</button>
<p id="out"></p>
</body>
<script type="text/javascript" src="/socket.io/socket.io.js"></script>
<script type="text/javascript">
var variableFromFrontEnd = 2;
var socket = io.connect("/");
socket.on("connect", function() {
socket.on("update", function(val) {
document.getElementById("out").innerHTML = val
});
});
socket.on("disconnect", function() {
setTimeout(()=>{socket.connect();}, 1000);
});
function push() {
if (socket.connected) {
socket.emit("push");
}
}
</script>
</html>
num.txt是一个以64为基数编码的数字
那么,有没有一种方法可以做到这一点,而不需要显著的速率限制或身份验证?还是我将不得不使用利率限制?
用户有很多不同的作弊方式,也有很多防止作弊的方法。一般规则是,你只能"让事情变得更难"(如果你运气好,足够难,以至于潜在的骗子在成功之前失去兴趣)。
对于基于浏览器的游戏,我会确保你至少确保你的游戏完全缩小/简洁(这样你的javascript代码就尽可能不可读,直接调用"点击"函数更难),并在消息中内置校验和(这样用户就不能直接对服务器进行套接字调用)。
一旦你做到了这一点,你仍然需要处理那些直接用代码或插件在元素上生成点击事件的用户,或者那些在浏览器外使用程序来重复生成按钮上方的点击事件的人。你最好的防御措施不是阻止,而是检测——可能是在服务器端,通过观察用户的持续点击率,这是人类不可能的,然后炸毁他们的游戏/暂时禁止他们的IP/等等。
请参阅相关问题防止或减少作弊的方法,了解更多相关想法(此问题是关于一般客户端-服务器游戏,而不是浏览器游戏,但一些讨论仍然有用)。