https://plumephp.com/tags/%E5%AE%89%E5%85%A8/Recent content in 安全 on PlumePHPHugozh-CNTue, 02 Jun 2026 23:31:00 +0800https://plumephp.com/game-server-cross-platform-account-linking/Tue, 02 Jun 2026 23:31:00 +0800https://plumephp.com/game-server-cross-platform-account-linking/<p>跨平台登录让玩家可以在手机、PC、主机或网页之间切换，但账号绑定也带来很多复杂边界。游客账号绑定平台账号，老玩家换设备，两个平台账号都已有角色，玩家误绑或被盗绑，服务端必须能安全处理。账号系统一旦出错，影响的不是功能体验，而是玩家身份和资产。</p>https://plumephp.com/game-server-rate-limiting-and-abuse-protection/Fri, 24 Apr 2026 14:39:00 +0800https://plumephp.com/game-server-rate-limiting-and-abuse-protection/<p>限流不是简单地把请求挡掉。游戏里的滥用行为很复杂：脚本刷登录、聊天刷屏、接口重放、活动奖励领取、拍卖行抢单、匹配频繁取消。每种行为的风险不同，限流策略也应该不同。</p>https://plumephp.com/backend-anti-cheat-signals-for-online-games/Sat, 14 Mar 2026 19:07:00 +0800https://plumephp.com/backend-anti-cheat-signals-for-online-games/<p>反作弊不是客户端加一个检测模块就结束。真正有价值的信号往往在服务端：玩家移动是否合理，战斗输出是否异常，经济产出是否偏离，行为节奏是否像脚本。后端信号设计越清楚，处理越不容易误伤。</p>https://plumephp.com/session-and-reconnect-token-design-for-game-servers/Thu, 05 Mar 2026 22:16:00 +0800https://plumephp.com/session-and-reconnect-token-design-for-game-servers/<p>登录成功只是玩家进入游戏的第一步。真正麻烦的是之后的几十分钟甚至几小时里，连接可能断开、客户端可能切后台、玩家可能换设备、网关可能迁移。会话设计不好，重连就会变成一串临时补丁。</p>https://plumephp.com/client-anti-cheat-boundaries/Mon, 23 Feb 2026 17:29:00 +0800https://plumephp.com/client-anti-cheat-boundaries/<h2 id="客户端不是可信环境">客户端不是可信环境</h2> <p>反作弊讨论里最重要的一句话是：客户端不可信。只要代码和数据运行在玩家设备上，就可能被调试、篡改、注入、录制和重放。</p> <p>这并不意味着客户端反作弊没意义，而是要摆正边界。客户端可以提高作弊成本、发现异常线索、保护普通玩家体验，但不能单独决定关键经济和竞技结果。真正权威的数据，仍然应该由服务端验证。</p>