【SpringBoot商城秒杀系统项目实战22】安全优化 秒杀接口地址隐藏

最新推荐文章于 2024-03-08 14:08:12 发布
最新推荐文章于 2024-03-08 14:08:12 发布
阅读量2.1k 收藏 4
点赞数 3
分类专栏: 商城秒杀系统 文章标签: 秒杀接口隐藏 秒杀系统安全优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Brad_PiTt7/article/details/90701884
版权

秒杀接口地址隐藏

每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。)

实现思路:

在进行秒杀之前,去后端获取一个动态的秒杀地址path(服务端生成随机数作为path),在然后将这个随机数返回给前端,前端用这个path拼接在新的请求url(url : “/miaosha/” + path + “/do_miaosha”)上作为参数,再去发请求到后台开始我们的秒杀

  1. 改造前端秒杀按钮,在发起请求之前,先去获取秒杀地址:
<button class="btn btn-primary" type="button" id="buyButton" onclick="getMiaoshaPath()">立即秒杀</button>

  1. 发起请求/miaosha/getPath去后端获取一个动态的秒杀地址path,然后前端在用这个path拼接在url(url : “/miaosha/” + path + “/do_miaosha”)上作为参数,再去发请求到后台开始我们的秒杀

    getMiaoshaPath和doMiaosha(path)代码:

	//获取秒杀地址
	function getMiaoshaPath() {
		var goodsId = $("#goodsId").val();
		$.ajax({
			url : "/miaosha/getPath",
			type : "GET",
			data : {
				goodsId : goodsId,
				//vertifyCode:$("#vertifyCode").val()
			},
			success : function(data) {
				if (data.code == 0) {
					//获取秒杀地址
					var path = data.data;
					//拿到path之后,才去做我的秒杀逻辑,并且在方法传入秒杀地址
					doMiaosha(path);
				} else {
					layer.msg(data.msg);
				}
			},
			error : function() {
				layer.msg("请求有误!");
			}
		});
	}
	function doMiaosha(path) {
		//alert(path);
		$.ajax({
			url : "/miaosha/" + path + "/do_miaosha",
			type : "POST",
			data : {
				goodsId : $("#goodsId").val()				
			},
			success : function(data) {
				if (data.code == 0) {
					getMiaoshaResult($("#goodsId").val());
				} else {
					layer.msg(data.msg);
				}
			},
			error : function() {
				layer.msg("请求有误!");
			}
		});
	}
  1. 服务端生成随机数作为path,并且存入缓存(设置缓存过期时间60s),然后将这个随机数返回给前端
	/**
	 * 获取秒杀的path,并且验证验证码的值是否正确
	 */	
	@RequestMapping(value ="/getPath")
	@ResponseBody
	public Result<String> getMiaoshaPath(HttpServletRequest request,Model model,MiaoshaUser user,
			@RequestParam("goodsId") Long goodsId,
			@RequestParam(value="vertifyCode",defaultValue="0") int vertifyCode) {
		model.addAttribute("user", user);
		//如果用户为空,则返回至登录页面
		if(user==null){
			return Result.error(CodeMsg.SESSION_ERROR);
		}				
		//生成一个随机串
		String path=miaoshaService.createMiaoshaPath(user,goodsId);		
		return Result.success(path); 
	}

注意:写入缓存,是后端接收到这个请求秒杀地址path参数,并且与缓存中的存的path比较,如果一致,进行秒杀逻辑,否则,非法请求。

createMiaoshaPath方法:

	/**
	 * 生成一个秒杀path,写入缓存,并且,返回至前台
	 */
	public String createMiaoshaPath(MiaoshaUser user, Long goodsId) {
		String str=MD5Util.md5(UUIDUtil.uuid()+"123456");
		//将随机串保存在客户端,并且返回至客户端。
		//String path=""+user.getId()+"_"+goodsId;
		redisService.set(MiaoshaKey.getMiaoshaPath, ""+user.getId()+"_"+goodsId, str);
		return str;
	}

加上了秒杀接口地址隐藏之后可以防止恶意用户登陆之后,通过不断调用秒杀地址接口,骚扰服务器,所以使用动态获取秒杀地址,只有真正点击秒杀按钮,才会根据用户id和商品goodsId生成对应的秒杀接口地址。

但是,这种情况仍然不能解决利用机器人频繁点击按钮的操作,为了降低点击按钮的次数,以及高并发下,防止多个用户在同一时间内,并发出大量请求,加入数学公式图形验证码以及接口防刷等优化技术。

pitt1997
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBoot商城秒杀系统项目实战miaosha_idea-master.zip
05-25
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
Spring之防止连接泄露的处理办法
ZT的专栏
04-01 3144
连接泄漏 在开发过程中直接连接数据库获取连接,使用完之后不进行及时的关闭连接,连接会一直处于激活状态,就会造成连接泄露,对系统和数据库都会带来一定的压力和负担。 我们写了一个方法让主线程睡眠的形式来模拟多线程环境下的模拟package com.zhu.service;import java.sql.Connection; import java.sql.SQLException; import
SpringCloud Zuul 实现Url内部调用不暴露
kongquexue的专栏
06-09 543
需求:该url不需要登录,但又不允许外网通过zuul调用,只允许微服务间在内网调用 如我们想通过用户id来或者用户的手机号码等关键信息 实现:可以通过ZuulFilter进行拦截
解决Spring Data Rest不暴露ID字段的问题
05-24 2625
大家都知道 使用Spring data rest 会遇到列表中没有ID的问题. 找了好久也没找到解决方案 只能一个一个加真的很麻烦config.exposeIdsFor(User.class);在公司郭大神的帮助下 找到了这个神奇的方法 简直太棒了参考:http://tommyziegler.com/how-to-expose-the-resourceid-with-spring-data-res...
SpringBoot+Ajax+redis实现隐藏重要接口地址
浩泽学编程的博客
03-08 3058
本篇文章主要讲诉使用SpringBoot项目配合Ajax和redis实现隐藏重要接口地址,这里我以隐藏秒杀地址为例。以上就是SpringBoot+Ajax实现隐藏重要接口地址的实现。
IDEA+SpringBoot+Java商城秒杀实战20】高并发秒杀接口优化
01-20
高并发秒杀接口优化 接口优化(核心思路:减少对数据库的访问) Redis预减库存减少对数据库的访问 内存标记减少Redis的访问 请求先入队缓冲,异步下单,增强用户体验 RabbitMQ安装与SpringBoot的集成(目的:同步...
基于SpringBoot高并发商城秒杀系统项目.zip
最新发布
04-08
综上所述,这个基于SpringBoot的高并发商城秒杀系统展示了Java Web开发的实战应用,涉及到的技术点包括SpringBoot核心组件、数据库设计、高并发处理策略以及项目管理等多个层面。通过深入学习和研究该项目,开发者...
商品秒杀实战springboot项目
11-23
【描述】:“开箱即用的 秒杀实战项目”意味着这是一个可以直接部署并快速运行的基于SpringBoot技术的秒杀系统实现。秒杀活动是电商领域常见的促销手段,通过限时、限量的商品售卖来吸引用户,提升销售额。在这样的...
安全优化--秒杀接口地址隐藏
weixin_38035852的博客
07-24 5161
秒杀接口地址隐藏:每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。 思路: 1.在进行秒杀之前,先请求一个服务端地址,/getmiaoshaPath 这个地址,用来获取秒杀地址,传参为 商品id,在服务端生成随机数(MD5)作...
秒杀系统 - 隐藏地址/图片验证码/redis实现接口限流防刷
天天向上
08-28 716
隐藏地址+图形验证码 目的 这么做主要是为了防止客户端提前拿到接口地址,在秒杀开始的时候直接调用秒杀接口。 思路 本次实验做法:/getPath获取秒杀链接,之后访问新链接进行秒杀。getPath中要验证图形验证码的结果是否正确。 本次实验缺点:因为真正的秒杀地址为/miaosha+{/getPath获取的data},仍然可以通过get请求获得真正秒杀地址。 更好的做法:调用/getPath接口可以返回一个面的url,让浏览器跳转到这个新的url面,新的面才是真正的秒杀面。 实现 获取图形验证码图片
Java SpringBoot接口,用于代理转发,隐藏真实接口
初心不改
03-22 3893
一个简单易用的接口代理转发工具
秒杀接口隐藏方法
pol56815156的博客
01-10 200
秒杀接口隐藏 思路 秒杀开始后,点击秒杀按钮不是直接进行秒杀,而是获取秒杀接口地址。 每个人获得的秒杀地址都不一样。 获取到秒杀接口地址后,在进行秒杀操作 这种操作如何防止脚本? 秒杀接口并不是真正的秒杀接口,即使脚本知道这个秒杀接口也无法进行秒杀,时间到了才能获取到地址,并且地址具有一分钟的失效时间,等获取到了这个地址,添加进脚本的时候,已经被抢光了。 优化秒杀接口->秒杀...
基于Springboot实现商品进销存管理系统
软件开发实战项目分享
08-02 1204
本项目实现了基于springboot的进销存管理系统,主要用户开设网店的相关商品的进货、销售、库存的管理,功能比较完整,有着完备的权限管理系统,可以自行根据需要来设计角色和分配权限,权限的粒度可以做到面级的权限控制,整个项目来讲比较优秀。主要实现的功能有如下几个模块: 基础管理模块:包含客户管理、供应商管理、商品管理三个子模块 进货管理模块:包含商品进货、退货、商品退货查询几个子查块 销售管理:包含商品销售、退货、销售退货查询几个子查块 系统管理:包含部门管理、菜单管理、权限管理、角色管理、用户管理五个
秒杀系统学习笔记,限时抢购,抢购接口隐藏
今晨的个人博客
11-05 577
限时抢购的实现 使用Redis来记录秒杀商品的时间,对秒杀过期的请求进行拒绝处理! 将秒杀商品放入Redis中并设置过期时间 使用String类型以kill+商品id的形式作为key以商品id作为value设置一定的过期时间(这里设置为180秒) 引入Redis依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-d
隐藏秒杀接口地址
阳某的博客
01-06 2442
隐藏秒杀地址 隐藏秒杀接口地址后,确保秒杀开始前没有人知道地址。http是明文传输的,访问的url,参数都可见,若不做隐藏,恶意用户可以在秒杀活动开始前就访问秒杀接口地址秒杀项目完整代码地址:https://github.com/yang-mou/miaosha.git 思路: 1、第一次请求后台先验证用户是否登录和验证码是否正确,生成随机地址存入redis并且返回 2、带着地址请求后台,后...
springboot 接口隐藏
weixin_43931625的博客
08-25 2245
springboot 接口隐藏
安全优化---秒杀地址隐藏
weixin_39590058的博客
03-01 591
每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。 思路: 1. 在进行秒杀前,先请求一个服务端地址,/getmiaoshaPath这个地址,用来获取秒杀地址,传参为商品id, 在服务端生成随机数(MD5)作为pathid存入缓存,(缓存过期时间60s),r然后将这个随机数返回给前端。 2. 获得该pathid后,前端在用这个pat...
商城秒杀项目】-- 秒杀接口地址隐藏
weixin_42687829的博客
02-26 2635
每次点击秒杀按钮的时候,才生成秒杀地址秒杀地址不是写死的,而是从服务端获取,动态拼接而成的地址(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击),本篇博客记录如何进行秒杀接口地址隐藏进行安全优化 实现思路: 在进行秒杀之前,先去后端获取一个动态的秒杀地址path(由后端生成随机字符串作为path),然后将这个随机字符串返回给前端,前端将这...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值