专业风控团队都是风险因子收集+模式识别，靠行为模式来打击黑产。

你用的这些方案都只能提高门槛，对于黑产本身来说不算啥。你当下最简单的方式就是，接口调用完之后保留一些供后续审计的数据，做不到在线实时识别的话事后打击也可以。

我研究过一点，可以交流一下

核心是你即使在 wasm 加解密你还是得在 js 端使用 wasm export 出的 abi ，其实目前 wasm 反编译不是很成熟，大概率是把你 js 反混淆了

建议防重放+签名算法，配合服务端限流+环境检查之类的

关键字：WAF 、Bot Management

说明你的站很牛啊, 有人盯上了, 肯定 api 是有价值得