从技术角度分析风控，以及B站X-Trace-id算法

阿龙

最近B站开始似乎开始风控x-bili-trace-id了，之前很多不加该参数的会容易触发风控。
当然，我这只是猜测，因为加和不加确实导致风控了。其他几个参数当然也要有，图中为什么参数为空是因为没登录账号。

未增加


增加后

拿源码的直接拿吧。

游客，如果您要查看本帖隐藏内容请回复

同样借此机会聊聊安全相关，很多水友开发自己服务端sdk时总会被爬的烂的不行，可以通过各种参数校验ssl等方法规避，但是做逆向的人可能会把你每一个参数都破J掉，这就需要在后端做数据分析策略风控了。
看过B站服务端源码的水友都知道，起始很多服务器返回的加密值也是再服务器通过算法生成的，实际上本地同样可以处理。并不是风控拍的必要条件。
咱们今天主要聊一下风控逻辑，主要是后端风控逻辑，也就是不在表面上的工作。通过之前b站泄露的后端源码，B站对于非法请求有一定阈值，但是超过这个阈值就会触发锁定机制。也就是他们做B站常说的<<锁>>


B锁（Lock） 的主要作用是限制或控制对某些资源的访问，防止在特定条件下出现不一致或无效的数据操作。在实际应用中，锁定机制通常用于风控、数据一致性保护、或防止恶意行为。具体来说，点击锁定的功能可能包括以下几个方面：
*
* 防止作弊或滥用：
* 锁定可以用于防止恶意用户通过某些手段（如脚本或自动化工具）频繁点击或重复操作，尤其是在点赞、投币、收藏等系统中，锁定有助于减少虚假点击或不合法的行为。通过锁定特定平台 (plat) 或等级 (lv)，系统可以根据不同情况对某些行为进行限制或禁止。

* 限制对特定平台的访问：
* 锁定可以与平台类型 (plat) 和等级 (lv) 相关联。比如，某些平台上的点击（如移动端或网页端）可能不被计入统计，或者某些用户等级的用户无法执行某些操作。这种锁定机制可以通过控制平台和等级来确保只有符合条件的用户或平台才允许进行某些操作。

通过上面两单可以总结出来不同路由和不同平台的风控是单独的，也就是你走ios/click和web/click都是单独的，哪怕ios端被风控也不行
第二点就是如果是lv风控，那么你再任何平台都无法通过低等级账号来实现你想做的功能。


用户禁用（MID 锁定）：
如果一个用户（通过 MID 标识）被锁定，那么该用户可能无法进行某些操作，比如点击、观看或参与投票等。锁定的目的是防止被禁用的用户继续参与，这通常与风控（比如反作弊机制）相关。

避免重复点击或重复计数：
在某些应用中（例如视频播放计数、广告点击等），锁定机制可以用于防止同一个用户或设备频繁进行相同的操作。这有助于确保点击数据的有效性，防止因为恶意行为或技术问题导致的无效数据计数。

保证数据一致性：
锁定机制通过控制资源访问，避免了多个操作同时修改同一个资源，从而可能导致数据的不一致。例如，当多个请求试图修改同一个视频的点击数时，通过锁定，系统可以确保只有一个请求能成功操作，其他请求会被阻止或延迟。

具体在后端代码中的表现：
SetLock：这个方法接受 aid（视频 AID）、plat（平台类型）、lock（锁定状态）和 lv（等级）参数，表示对某个视频在特定平台上的某些操作进行锁定或解锁。这种锁定可以基于平台（如 Web、移动端等）和用户等级，限制哪些操作被计入统计。

比如：

对于某些平台的点击（如移动端）进行锁定，防止滥用。
对于某些等级以下的用户，禁止其执行特定操作。
SetMidForbid：这个方法用于禁用特定用户（MID）的操作，通常用于禁用那些被识别为作弊或违规的用户。通过设置禁用状态，系统可以防止这些用户继续进行可能导致数据污染的行为（如恶意点击或刷量）。

总结：
B站锁定机制的核心作用是控制和限制某些操作的执行，以保障系统的健康运行、防止作弊、维护数据的真实性与一致性。在实际应用中，锁定往往是与风控策略密切结合的，通过判断平台、用户等级和行为模式来做出动态的调整。也就是说有些我们在客户Duan无法从技术干预只能放缓速度，增加权重账号等级来解决问题。

进击

感谢分享

lijiahao123

感谢大佬分享

740949011

00000000000000000

烟花易冷心易碎

感谢大佬分享

nenxifugebi

虽然特别厌恶 超过200字的文章,    但是还是坚持看完了,  点个赞

xmcx888

6666666666666666666

是大哥吖

66666666666666666666

mufu

谢谢分享谢谢

myl1712

从技术角度分析风控，以及B站X-Trace-id算法