SpringMVC 防刷限流

最新推荐文章于 2023-11-30 11:22:08 发布
最新推荐文章于 2023-11-30 11:22:08 发布
阅读量800 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeyShHeyou/article/details/98884259
版权

主要目的

通过新建Springmvc 拦截器,防止表单重复提交、或者防止某个页面重复刷新,限制并发访问流量,防止恶意刷单,减少缓存或数据库不必要的负担。

主要流程

1. 用户访问 demo 路径下的所有页面,通过新建拦截器拦截请求访问该地址下的所有请求;

2. 在controller中,需要生成token的方法上增加注解@FormToken(save=true),当页面加载完毕时,已经生成此次请求对应的token在当前的HTTPSession中;

3. 在需要检查重复提交的controller的方法上添加注解@FormToken(remove=true);

4. 在完成填写表单后,点击提交时,此时拦截器会先校验此次提交是否是重复提交,主要通过验证当前的请求中是否有指定的 token,并判断是否与 HttpSession 中的 token 一致;

5. 提交的请求中包含的token是在前端页面<inputtype inputtype="hidden" name="formToken" value="${formToken}" /> 中加载token,并在提交时的Ajax中设置参数data: {'formToken': "${formToken}"}, 包含请求参数的token;

6. 为了确保拦截效果,可以尝试在controller中设置再一次校验token,按照同样的规则生成token与请求参数中的token对比、或者添加一个有效期,当token过期后,再一次拦截;

7. 通过CacheBuilder,CacheLoader与LoadingCache模块进行限流,控制并发数量;

详细代码

1.新建自定义注解类

// @Target(ElementType.METHOD) 方法的注解
@Target(ElementType.METHOD)
// Retention(RetentionPolicy.RUNTIME) 注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在;
@Retention(RetentionPolicy.RUNTIME)
public @interface FormToken {
    // 保存表单 token,默认不保存
    boolean save() default false;
    // 移除表单 token,默认删除
    boolean remove() default false;
}

2.新建拦截器

// 新建拦截器,拦截指定路径下的所有请求,在 dispacher-servlet.xml 中配置,继承自 HandlerInterceptorAdapter
public class FormTokenInterceptor extends HandlerInterceptorAdapter {
    // 加密密钥 key
    protected String KEY = "XXX";

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 这个 handler 对象是否是 HandlerMethod 或它的子类的一个实例
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            // 实例化注解
            FormToken annotation = method.getAnnotation(FormToken.class);
            if (annotation != null) {
                // 调用注解保存 token 的 save(),判断当前 request 是否需要保存 token
                boolean needSaveSession = annotation.save();
                // 需要保存 token
                if (needSaveSession) {
                    // 按照自定方式生成 token,并用 MD5 加密
                    String token = XXXX;
                    // 保存当前时间至 session,在后台 controller 中作为加密对比的参数之一
                    request.getSession(false).setAttribute("formTime", currentTime);
                    // 在 session 中生成 token
                    request.getSession(false).setAttribute("formToken", MD5(token));
                }
                // 调用注解删除 token 的 remove(),判断当前 request 是否需要删除 token
                boolean needRemoveSession = annotation.remove();
                // 需要删除 token
                if (needRemoveSession) {
                    // 判断当前 request 是否重复提交,若重复提交,则拦截当前请求
                    if (isRepeatSubmit(request)) {
                        return false;
                    }
                    // 从当前请求的 HttpSession 中删除指定的 token
                    request.getSession(false).removeAttribute("formToken");
                }
            }
            return true;
        } else {
            // 其他正常请求不做拦截
            return super.preHandle(request, response, handler);
        }
    }

    // 判断当前请求是否重复提交。
    // 其实就是验证当前的请求中是否有指定的 token,并判断是否与 HttpSession 中的 token 一致
    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(false).getAttribute("formToken");
        if (StringUtils.isEmpty(serverToken)) {
            return true;
        }
        String clinetToken = request.getParameter("formToken");
        if (StringUtils.isEmpty(clinetToken)) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }

}

3. 配置拦截器:

后台controller 映射地址:@RequestMapping("XXX/"),在dispatcher-servlet.xml中配置此拦截器

	<mvc:interceptors>
		<mvc:interceptor>
			<mvc:mapping path="/XXX/**"/>
			<bean class="XXX/XXX.FormTokenInterceptor"/>
		</mvc:interceptor>
	</mvc:interceptors>

3.controller 验证

        // ....

        String formToken = request.getParameter("formToken");

        // 先从session中获取时间戳
        String currentTimeFromPage = (String) request.getSession(false).getAttribute("formTime");

        String seqNo = request.getParameter("seqNo");
        String newToken = XXX; // 参考拦截器中的token生成方式生成新的token校验
        boolean flag1 = StringUtils.isEmpty(formToken);
        boolean flag2 = StringUtils.equals(formToken, newToken);

        // 验证session中的token不为空,且token一致
        if (flag1 || !flag2) {
            _logger.error(String.format("token验证不一致!待验证token:%s, 提交推荐意愿评分生成的token:%s", formToken, newToken));
            return XXX;
        }

4.前端页面添加:

<inputtype inputtype="hidden" name="formToken" value="${formToken}" />

注意在ajax提交时 要加上 formToken参数

        //ajax请求
        $.ajax({
            url:'XXX',
            data: {'formToken': "${formToken}"}, // 重点!
            type:'get',
            dataType: 'json',
            timeout: 60000,
            success: function(data){
                //ajax返回
                if("0000" == data.isSucceed){
                    // 跳转到提交页面
                    location.href = 'XXX/XXX';
                }else {
                    // 错误处理
                    // ...
                }
            },
            error: function(){
                alert('系统错误或网络异常,请稍后再试!');
            }
        });

5.限流部分

    private static final LoadingCache<String, RateLimiter> rateLimiter = CacheBuilder
            .newBuilder().maximumSize(10000)
            .expireAfterWrite(10, TimeUnit.HOURS)
            .build(new CacheLoader<String, RateLimiter>() {
                public RateLimiter load(String key) {
                    _logger.info("创建RateLimiter key:" + key);
                    return RateLimiter.create(50); // 限流50
                }
            });

在需要防止重复刷新的方法中添加限流措施:

        // 限流
        try {
            if (!rateLimiter.get("XXXX").tryAcquire()) { // XXXX为需要限流的地址路径
                _logger.error("调用频次达到上限");
                return "XXX/XXX"; // 调用次数达上限后需要跳转的地址
            }
        } catch (Exception e) {
            _logger.error("限流器调用失败", e);
            return "XXX/XXX"; // 发生异常需要跳转的地址
        }

至此,防刷限流工作完毕。

参考链接:

https://blog.csdn.net/u011191463/article/details/78180538

http://blog.csdn.net/u013378306/article/details/52944780

偷偷玩两下
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springmvc限流拦截器
valleychen1111的博客
09-20 6191
springmvc限流拦截器限流器算法目前常用限流器算法为两种:令牌桶算法和漏桶算法,主要区别在于:漏桶算法能够强行限制请求速率,平滑突发请求,而令牌桶算法在限定平均速率的情况下,允许一定量的突发请求 下面是从网上找到的两张算法图示,就很容易区分这两种算法的特性了 漏桶算法 令牌桶算法 针对接口来说,一般会允许处理一定量突发请求,只要求限制平均速率,所以令牌桶算法更加常见。 令牌桶算法工具R
SpringMvc 限流之 RateLimiter
Lili429的博客
02-02 4084
概念 限流 限流的目的是通过对并发访问/请求进行限速,或者对一个时间窗口内的请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待、降级等处理 常用限流算法 常用的限流算法有两种:漏桶算法和令牌桶算法 漏桶算法思路很简单,水(请求)先进入到漏桶里,漏桶以一定的速度出水,当水流入速度过大会直接溢出,可以看出漏桶算法能强行限制数据的传输速率。 对于很多应用场景来说,除了要求能
springmvc限流解决方案
宇宙的黑洞
06-27 2532
本文采用3中限流方案: 1,谷歌的guava框架 2,使用redis技术 3,使用lua + redis 技术 限流方案类型 1,令牌桶限流(guava) 2,计数器限流(redis) 各位看官可根据自己的项目情况选择方案!!! package com.example.webtest.controller; import java.text.SimpleDateFormat; import j...
SpringMvc集成开源流量监控、限流、熔断降级、负载保护组件Sentinel | 京东云技术团队
JDDTechTalk的博客
11-30 772
随着微服务的流行,服务和服务之间的稳定性变得越来越重要。Sentinel 是面向分布式、多语言异构化服务架构的流量治理组件,主要以流量为切入点,从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微服务的稳定性。https://github.com/alibaba/Sentinel/wiki/Sentinel-核心类解析/*** 1.未配置流控规则 1000次请求没有间隔发起请求,应该在1秒中完成09:44:33* @return*/
SpringMVC自定义注解和拦截器实现控制器访问次数限制
fxbar的博客
03-14 2866
1、编写注解 import static java.lang.annotation.ElementType.METHOD; import static java.lang.annotation.RetentionPolicy.RUNTIME; import java.lang.annotation.Retention; import java.lang.annotation.Target;...
SpringMVC 限流的示例代码
08-28
**SpringMVC 限流详解** 在高并发的网络服务中,为了保护系统稳定性和防止资源耗尽,通常需要对接口请求进行限流SpringMVC 是一款广泛使用的 Java Web 框架,用于构建 MVC(Model-View-Controller)模式的 Web ...
springmvc限流拦截器的示例代码
08-28
SpringMVC 限流拦截器的示例代码 SpringMVC 限流拦截器是一种常见的限流算法,用于限制应用程序的请求速率,以避免系统过载和崩溃。限流拦截器可以根据不同的算法来实现限流,常见的限流算法有两种:令牌桶算法和漏...
基于SpringMVC和Snaker的工作流系统设计源码
最新发布
04-09
本项目是基于SpringMVC和Snaker的工作流系统设计源码,包含287个文件,其中115个PNG文件,37个JavaScript文件,37个GIF文件,32个JSP文件,20个CSS文件,9个HTML文件,7个Java文件,6个XML文件,5个JPG文件和4个...
Activiti5.8+SpringMVC整合工作流案例
11-18
一个在ERP项目中用到的工作流案例,拿来共享下,用的为Activiti5.8
SpringMVC demo 完整源码实例下载
05-02
这涉及到文件流的读写以及文件存储策略。 异常处理是任何应用程序都需要考虑的部分。SpringMVC允许我们定义全局的异常处理器,如@ControllerAdvice和@ExceptionHandler,以便统一处理可能出现的运行时异常,提高...
springmvc实现网站限流
emo123ri的专栏
12-23 2738
辅助类,用于存储每个请求的访问数 public class AccessCounts { public static final String CALLPATH = "AccessCounts.CALLPATH"; private ConcurrentHashMap map = new ConcurrentHashMap(); private AccessCounts() { }
spring-session简介、使用及实现原理
热门推荐
浪子
03-16 8万+
一:spring-session 介绍 1.简介 session一直都是我们做集群时需要解决的一个难题,过去我们可以从serlvet容器上解决,比如开源servlet容器-tomcat提供的tomcat-redis-session-manager、memcached-session-manager。 或者通过nginx之类的负载均衡做ip_hash,路
springMvc使用时利用重定向防止刷新请求两次
yuhui666666的博客
05-08 715
springMvc使用时利用重定向防止刷新请求两次        @RequestMapping(value = "/settlementNo")  public String settlementNo(Model model,Integer orderId,RedirectAttributes redirecatttr){//用来接收重定向参数                ...
springMvc自定义注解实现拦截器限流
weixin_39417722的博客
05-04 338
前言 本文适用于springMvc, 当然也包括springboot 代码 自定义拦截器注解: @Retention(RUNTIME) @Target(METHOD) public @interface AccessLimit { // controller url 必填 String pathInfoC(); // 最大并发量 int processQuantit...
Java使用限流处理大量的并发请求
在远行的路上
08-24 1万+
在web应用中,同一时间有大量的客户端请求同时发送到服务器,例如抢购、秒杀等。这个时候如何避免将大量的请求同时发送到业务系统。 第一种方法:在容器中配置最大请求数,如果大于改请求数,则客户端阻塞。该方法有效的阻止了大量的请求同时访问业务系统,但对用于不友好。 第二种方法:使用过滤器,保证一定数量的请求能够正常访问系统,多余的请求先跳转到排队页面,由排队页面定时发起请求。过滤器实现如下: pu
RateLimit--使用guava来做接口限流
JIESA的专栏
12-27 3万+
一、问题描述     某天A君突然发现自己的接口请求量突然涨到之前的10倍,没多久该接口几乎不可使用,并引发连锁反应导致整个系统崩溃。如何应对这种情况呢?生活给了我们答案:比如老式电闸都安装了保险丝,一旦有人使用超大功率的设备,保险丝就会烧断以保护各个电器不被强电流给烧坏。同理我们的接口也需要安装上“保险丝”,以防止非预期的请求对系统压力过大而引起的系统瘫痪,当流量过大时,可以采取拒绝或者引
使用Sentinel对Spring MVC接口进行限流
码农小胖哥
09-28 3222
1.前言Spring Cloud Alibaba提供了中间件Sentinel,它以流量为切入点,提供了流量控制、熔断降级、系统负载保护等多个功能来保护服务的稳定性。今天就来尝试一下。本文...
SpringBoot】Spring Boot 实现接口防刷
sco5282的博客
11-04 584
AOP + 自定义注解 + Redis 实现接口防刷
SpringMVC请求处理与参数限定
"通过请求/请求头参数限定:示例-springMVC" SpringMVCSpring框架的一个核心组件,主要用于构建Web应用程序。它遵循Model-View-Controller(MVC)设计模式,帮助开发者将表现层、业务逻辑和数据模型分离,从而提高...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值