接口防刷处理方案

最新推荐文章于 2025-06-06 13:40:42 发布
原创 最新推荐文章于 2025-06-06 13:40:42 发布 · 2.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#servlet #java #开发语言

本文介绍了如何使用Java Servlet、自定义注解和Redis来实现API接口的防刷处理,防止短时间内接口被大量调用导致系统崩溃。通过拦截器、Redis记录请求次数以及利用Lua脚本进行原子性操作,确保接口的可用性和稳定性。文中还提到了两种实现方案,一种是拦截器+AOP,另一种是拦截器+自定义注解,并提供了详细的代码示例。


1、    API接口防刷     1.1、概念     
顾名思义,就是要实现某个接口在某段时间内只能让某人访问指定次数,超出次数,就不让访问了 1.2、原理     
  在请求的时候,服务器通过 Redis 记录下你请求的次数,如果次数超过限制就不给访问在 Redis 保存的 Redis 是有时效性的,过期就会删除
1.3、目的     
主要防止短时间接口被大量调用(攻击),出现系统崩溃和系统爬虫问题,提升服务的可用性
1.4、实现方案介绍     
1.    拦截器+自定义注解+Redis
2.    AOP+自定义注解+Redis
2、方案一     
好,接下来我们直接实战编码,运用到项目中的话,非常实用,使用起来也非常方便,下面是我们需要
写的几个核心类
1.    自定义注解
2.    拦截器(核心)
3.    Redis配置类(设置序列化用)
2.1、自定义注解     
 
2.2、拦截器     
 

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.util.concurrent.TimeUnit;
/**
*    防刷限流的拦截器
*    @author wujiangbo
*    @date 2022-08-23 18:39
 */ @Component
public class RateLimitInterceptor implements HandlerInterceptor {
    @Resource     private RedisTemplate<String, Integer> redisTemplate;
    @Override
    public boolean preHandle(
            HttpServletRequest request,
            HttpServletResponse response,
            Object handler) throws Exception {
        // 如果请求的是方法,则需要做校验
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            // 获取目标方法上是否有指定注解
            RateLimit rateLimit = handlerMethod.getMethodAnnotation(RateLimit.class);
            if (rateLimit == null) {
                //说明目标方法上没有 RateLimit 注解
                return true;
            }
            //代码执行到此,说明目标方法上有 RateLimit 注解,所以需要校验这个请求是不是在刷接口
            // 获取请求IP地址
            String ip = getIpAddr(request);
            // 请求url路径
            String uri = request.getRequestURI();
            //存到redis中的key
            String key = "RateLimit:

最低0.47元/天 解锁文章
SpringBoot实现接口的5种实现方案
wjianwei666的专栏
05-08 216
接口是保障系统安全与稳定性的重要措施。恶意的高频请求不仅会消耗服务器资源,还可能导致数据异常,甚至系统瘫痪。本文将介绍在SpringBoot框架下实现接口的5种技术方案
太强了!SpringBoot 3 接口的 8 种高效解决方案,你用对了吗
nihao2q的博客
04-14 831
方案优点缺点适用场景Nginx限流性能高,护前置粒度粗,用户维度不可控静态资源、统一入口Redis+注解限流灵活,适配复杂场景侵入代码,复杂度高登录/操作类接口Guava限流轻量无依赖单机不可集群共享单体系统限流Sentinel限流支持控制台、维度丰富需额外部署 Sentinel 控制台微服务系统图形验证码止脚本攻击用户体验一般注册/登录滑块验证码智能行为识别接入复杂,成本高高安全场景IP白名单简洁、安全无法动态扩展内部系统/回调接口
Java接口策略(自定义注解实现)
single_cong的博客
06-01 7192
目的 短信发送及短信验证码校验接口 一方面止用户循环调用短信验证码 另一方面止用户循环调用测短信验证码(一般短信验证码为6位纯数字,一秒钟上百次调用,如果不做限制很快就能试出来了) 很多接口需要止前端重复调用 误操作多次点击,不属于攻击类型,正常用户经常会触发的,例如信息发布可能前端限制未做好,误点击了多次,这种情况实际上应该只记录第一次的,后续的不应该继续操作数据库。 极端的情况 可能很多接口一天或者很长时间只能调用一次(类似签到?个人想法是尽量不让数据到了数据库层再抛异常) 解决措施 利
Java 接口处理方案
clixinchao的博客
04-28 1408
在一个高访问量的 Web 应用程序中,用户可能通过接口的方式,大量消耗系统资源,从而导致系统崩溃。本文介绍了基于 Java接口处理方案,包括限制请求频率和限制并发请求数两个方面。1. 限制请求频率:对于同一个 IP 地址,限制其请求某个接口的频率。具体来说,可以采用 Token Bucket 算法,每次请求从 Token Bucket 中取出一个 Token,如果 Token Bucket 为空,则拒绝请求。具体来说,可以采用信号量机制,每次请求前先获取一个信号量,如果信号量已满,则拒绝请求。
Java】教你如何实现接口
DreamSun的博客
08-14 1197
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示 “请勿重复提交” 的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口的一种处理方式,通过在一定时间内限制同一用户对同一个接口的请求次数,其目的是为了止恶意访问导致服务器和数据库的压力增大,也可以止用户重复提交。/*** @description 重复请求拦截/*** 限定时间 单位:秒/*** 限定请求次数。
优雅的接口处理方式,看这一篇就够了
小学生波波
09-22 4627
优雅的接口处理方式
接口如何止被,教你有效的8种方法
m0_66326520的博客
02-23 4094
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并止API接口被恶意
优雅的接口处理方案
m0_71777195的博客
03-23 187
本文为描述通过Interceptor以及Redis实现接口访问Demo这里会通过逐步找问题,逐步去完善的形式展示说实话,挺有意思的,一开始自己想【接口】的时候,感觉也就是转化成统计下访问次数的问题摆了。后面到网上看别人的写法,又再自己给自己找点问题出来,后面会衍生出来一推东西出来,诸如自定义注解+反射这种实现方式。
优雅的接口处理方案
竹林幽深
04-07 1229
发表于江苏以下文章来源于JAVA日知录 ,作者飘渺Jam对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口
接口如何止被
liujiang的博客
07-15 5288
接口如何 1:网关控制流量洪峰,对在一个时间段内出现流量异常,可以拒绝请求 2:源ip请求个数限制。对请求来源的ip请求个数做限制 3:http请求头信息校验;(例如host,User-Agent,Referer) 4:对用户唯一身份uid进行限制和校验。例如基本的长度,组合方式,甚至有效性进行判断。或者uid具有一定的时效性 5:前后端协议采用二进制方式进行交互或者协议采用签名机制 6:人机验证,验证码,短信验证码,滑动图片形式 ...
为了保护用户的数据,给大家提供一个高效且优雅的接口处理方案
2301_76936922的博客
04-06 690
因此,通过使用这些Controller和它们的方法,我们可以更好地管理我们的应用程序。上述实现虽然已经达到了我们的接口的目的,但是我们还有更多的事情可以做来提高系统的安全性。实际上,在实际工作中,我们需要对不同接口进行不同的处理,而不是简单地针对所有接口进行统一处理。但实际上前后端联调开发项目时,不会有那么严谨的Api文档给我们用(这个在实习中倒是碰到过,公司不是很大,开发起来也就不那么严谨,啥都要自己搞,功能能实现就好)在我的开发过程中,我一开始只考虑了【接口】的功能,只是想统计访问次数。
接口安全----接口
weixin_51764982的博客
01-20 6577
接口安全之接口实现,超过十次则拦截,一分钟后恢复
如何接口
王景程的博客
04-19 2498
接口(即止恶意频繁访问接口)是构建稳定、安全的后端服务的关键环节。接口会带来以下问题:服务压力大 → 崩溃或变慢;资源被滥用 → 例如验证码短信费用增加;用户体验差 → 正常用户无法访问服务;安全隐患 → 存在撞库攻击、恶意爬虫等风险。
SpringBoot 接口的5种方案,太强了!
码猿技术专栏
06-06 208
然后,我们移除过期的请求记录,统计当前窗口内的请求数。令牌桶算法是一种更加灵活的限流算法,它就像一个装有令牌的桶,系统会以固定的速率向桶中添加令牌,每个请求需要从桶中获取一个令牌才能被处理。恶意的高频请求如同隐藏在暗处的“杀手”,不仅会大量消耗服务器宝贵的资源,还可能引发数据异常,严重时甚至会导致整个系统瘫痪,给业务带来不可估量的损失。阿里巴巴开源的 Sentinel 是一个强大的流量控制组件,它就像一个智能的“交通警察”,可以对系统的流量进行实时监控和控制,提供了丰富的限流、熔断、系统保护等功能。
API接口
奇葩也是花
05-06 1963
接口通过Redis进行限制。 实现思路: 1、用户在访问接口的时候,获取用户的ip $request -> ip(); 2、把ip作为key,访问次数作为对应的值,每次访问接口累加访问次数即可。 【注意一个问题:key的有效期是1分钟,必须是第一次写入的时候 指定1分钟的有效期】 3、下一次访问的时候,判断是否超过100次,如果超过的,吧ip加入黑名单中半个小时。 【用的数据...
必会接口案例
chenxuyuana的博客
07-02 858
为了止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口(止重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口。由于本人能力有限,只接触过集群部署,一般都是使用两种方案解决,一种是拦截器+Redis实现,另外一种是使用拦截器+Guava Cache等本地缓存实现,此处介绍第一种。实现原理是利用拦截器拦截所有接口请求,然后对需要接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后
【SpringBoot】Spring Boot 如何实现接口
低调做人,低调编码,神码都是浮云
06-19 2799
SpringBoot接口
有哪些方案
最新发布
09-30
- [^1]: 讨论接口处理的普遍性问题。 - [^2]: 提到SpringBoot实现方案的5种原则:最小影响、梯度护、可监控、灵活调整。 - [^3]: 介绍SpringBoot下的5种高效方案:从注解限流到Sentinel集成,需要组合多种...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H_Jason_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值