防止接口恶意刷新和暴力请求

已于 2022-06-06 09:52:03 修改
阅读量1k 收藏 7
点赞数
分类专栏: springBoot 文章标签: java http json
于 2022-06-06 09:52:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Che_yibuhe_yibu/article/details/125141104
版权

当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况。

下面通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打到自己的目的。

工程为springboot框架搭建。

首先创建一个自定义的拦截器类,也是最核心的代码;


/**
 * @description: ip+url重复请求现在拦截
 **/
@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {


    private RedisUtil getRedisUtil() {
        return  SpringContextUtil.getBean(RedisUtil.class);
    }

    private static final String LOCK_IP_URL_KEY="lock_ip_";

    private static final String IP_URL_REQ_TIME="ip_url_times_";

    private static final long LIMIT_TIMES=5;

    private static final int IP_LOCK_TIME=60;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        log.info("request请求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest));
        if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){
            log.info("ip访问被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));
            ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
            returnJson(httpServletResponse, JSON.toJSONString(result));
            return false;
        }
        if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){
            ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
            returnJson(httpServletResponse, JSON.toJSONString(result));
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }

    /**
     * @Description: 判断ip是否被禁用
     */
    private Boolean ipIsLock(String ip){
        RedisUtil redisUtil=getRedisUtil();
        if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){
            return true;
        }
        return false;
    }
    /**
     * @Description: 记录请求次数
     */
    private Boolean addRequestTime(String ip,String uri){
        String key=IP_URL_REQ_TIME+ip+uri;
        RedisUtil redisUtil=getRedisUtil();
        if (redisUtil.hasKey(key)){
            long time=redisUtil.incr(key,(long)1);
            if (time>=LIMIT_TIMES){
                redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);
                return false;
            }
        }else {
            redisUtil.getLock(key,(long)1,1);
        }
        return true;
    }

    private void returnJson(HttpServletResponse response, String json) throws Exception {
        PrintWriter writer = null;
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/json; charset=utf-8");
        try {
            writer = response.getWriter();
            writer.print(json);
        } catch (IOException e) {
            log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);
        } finally {
            if (writer != null) {
                writer.close();
            }
        }
    }


}

代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;

redis分布式锁的关键代码:


/**
 * @className: RedisUtil
 **/
@Component
@Slf4j
public class RedisUtil {

    private static final Long SUCCESS = 1L;

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
// =============================common============================

    /**
     * 获取锁
     */
    public boolean getLock(String lockKey, Object value, int expireTime) {
        try {
            log.info("添加分布式锁key={},expireTime={}",lockKey,expireTime);
            String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";
            RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
            Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);
            if (SUCCESS.equals(result)) {
                return true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return false;
    }

    /**
     * 释放锁
     */
    public boolean releaseLock(String lockKey, String value) {
        String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";
        RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
        Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);
        if (SUCCESS.equals(result)) {
            return true;
        }
        return false;
    }

}

最后将上面自定义的拦截器通过registry.addInterceptor添加一下,就生效了;



@Configuration
@Slf4j
public class MyWebAppConfig extends WebMvcConfigurerAdapter {
    @Bean
    IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
        return new IpUrlLimitInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

测试方面可以自己写一个for循环来测试功能,看看效果

朋友,您开始脱头发了。您得当心点呀,您才不到三十岁。秃头对您太不好看。您把生活看得太严肃了。

车矣捕
关注
专栏目录
Spring Boot(五十五):基于redis防止接口恶意刷新暴力请求
u013938578的博客
01-17 989
代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来达到自己的目的。下面只讲解大致步骤,不详细讲解,需要完整代码的可以自行下载。
防止SpringBoot 接口恶意刷新暴力请求实现
最新发布
java之书-资源
08-23 37
防止SpringBoot 接口恶意刷新暴力请求实现
接口如何防止被刷,教你有效的8种方法
m0_66326520的博客
02-23 2500
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口恶意刷。
接口安全----接口防刷
weixin_51764982的博客
01-20 6428
接口安全之接口防刷实现,超过十次则拦截,一分钟后恢复
防止API滥用:接口安全机制的全面解析
青春木鱼的博客
07-20 843
将这些方法结合使用,可以显著提高接口的安全性和防刷能力。确保在实现每种防护机制时,充分考虑用户体验,避免对正常用户造成困扰。
前后端API接口安全问题,防止抓包恶意请求
songziqi_的博客
09-17 4219
API接口恶意请求问题 抓包
springboot接口服务,防刷、防止请求攻击,AOP实现
热门推荐
徐本锡的专栏
02-16 4万+
springboot接口服务,防刷、防止请求攻击,AOP实现
springboot基于redis防止接口恶意刷新暴力请求
01-17
本篇文章将深入探讨如何利用Spring Boot和Redis来防止接口恶意刷新暴力请求。 首先,我们需要理解什么是接口恶意刷新暴力请求恶意刷新通常指短时间内对同一个接口进行大量的重复调用,这可能是为了执行恶意...
几行代码,解决 SpringBoot 接口恶意刷新暴力请求
yanglingzhi888的博客
06-19 128
在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求暴力攻击的情况,下面的教程,通过和针对在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的;首先工程为springboot框架搭建,不再详细叙述。首先创建一个自定义的拦截器类,也是最核心的代码: 代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自
怎么防止接口恶意地多次请求
weixin_68750962的博客
02-16 4091
这是因为服务器在处理大量请求时,需要消耗更多的CPU和内存资源,而频繁的拒绝请求会导致服务器花费更多的时间和资源在处理这些请求上,从而影响正常的请求处理。当服务器接收到请求时,会根据请求中的相关信息(例如请求的URL、请求的参数、请求的头部信息等)进行一系列处理,最终返回一个响应。此外,还可以考虑采用负载均衡技术,将请求分散到多台服务器上处理,以分摊服务器的负载。请求方法不支持:当客户端使用不被服务器支持的请求方法(比如使用POST请求访问只允许GET请求接口)时,服务器可以拒绝请求,返回405状态码。
PHP中如何防止外部恶意提交调用ajax接口
12-19
我们自己网站写好的ajax接口,如果给自己用,那就限定一下来路域名,判断一下来路即可。 注意:将www.jb51.net替换成你自己的域名。 复制代码 代码如下://判断来路 if(!isset($_SERVER[‘HTTP_REFERER’]) || !stripos($_SERVER[‘HTTP_REFERER’],’www.jb51.net’)) {  echo ‘cann`t access’;  exit(); } 您可能感兴趣的文章:HttpClient实现调用外部项目接口工具类的示例C#接口在派生类和外部类中的调用方法示例易语言调用接
通过Redis 防止接口恶意请求
曹品东
10-15 476
//Redis 防止恶意请求 function api_frequency_visits($uid) { $key = "user:{$uid}:api:frequency"; $redis = $this->redis(); $data = $redis->hGetAll($key); //需要删除的key $del_key = []; //时间内访问的总次数 $total = 0; //时间内最大访问次数 $max.
springboot项目中接口防止恶意请求多次,重复请求的解决办法,适合小白
weixin_40918145的博客
09-22 1万+
springboot项目中接口防止恶意请求多次 在项目中,接口的暴露在外面,很多人就会恶意多次快速请求,那我们开发的接口和服务器在这样的频率下的话,服务器和数据库很快会奔溃的,那我们该怎么防止接口防刷呢?由于博主小白,很多都不懂,都是从网上一点一点的找资料最后成功的。 解决方案:采用注解方式 其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提...
接口频繁请求,被刷爆怎么办
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
02-19 1270
在面试时,经常会被问一个问题:如何防止别人恶意接口?这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。
接口动态签名,防止被人恶意调用
littlexiaoshuishui的博客
11-09 3254
在项目开发过程中,接口是必不可少的的,之前很多时候,常常是传几个参数去请求即可,没有做任何的验证手段,如果被别有用心的人发现你的接口,可以进行恶意攻击。有一种非常简单的接口验证手段,可以限制非正常调用; 1.请求参数 param:请求接口需要用到的参数 request_time:请求时间戳 sign : 签名有字符串,签名规则: MD5(request_time+private_key) ...
教你如何实现接口防刷
m0_71777195的博客
08-11 408
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口防刷的一种处理方式,通过在一定时间内限制同一用户对同一个接口请求次数,其目的是为了防止恶意访问导致服务器和数据库的压力增大,也可以防止用户重复提交。
如何防止API接口恶意调用
靖节先生的博客
02-18 6660
如何防止API接口恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
springboot如何防止恶意刷新暴力请求接口
delete_bug的博客
06-05 1900
防止恶意请求接口
如何防止恶意接口
骑着牛的奇兵的博客
02-20 1008
在面试时,经常会被问一个问题:如何防止别人恶意接口?这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。
JavaScript与ASP.NET防止恶意刷新解决方案
防止恶意刷新的技术包括前端的键盘事件拦截和后端的一次性Token验证,两者的结合可以有效地保护网站免受不必要的刷新和非法请求的影响。在实际应用中,还需要考虑其他安全措施,如增加验证码、限制请求频率等,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值