如何防止接口被恶意请求?添加时间戳检验?

已于 2023-08-01 10:51:19 修改
阅读量600 收藏 1
点赞数
分类专栏: java Redis 文章标签: java redis
于 2023-08-01 10:41:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NoviceZ/article/details/132036318
版权
java 同时被 2 个专栏收录
98 篇文章 9 订阅
订阅专栏
Redis
6 篇文章 0 订阅
订阅专栏

添加时间戳校验位

比如给客户端提供一个timestamp参数,值是13位的毫秒级时间戳,可以在第12位或者13位做一个校验位,通过一定的算法给其他12位的值做一个校验。

举例:现在实际时间是 1684059940123,我把前12位通过算法算出来校验位的值是9,参数则把最后一位改成9,即1684059940129,值传到服务端后通过前十二位也可以算出来值,来判断这个时间戳是不是合法的。

生成校验位的算法要确保前后端一致,比如校验位的值都取倒数第二位的值(可过滤掉90%)恶意请求。

添加拦截器防止接口恶意狂刷

其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提示错误信息。

添加注解

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface AccessLimit {

    int seconds();

    int maxCount();

}

自定义拦截器

public class SessionInterceptor extends HandlerInterceptorAdapter {

    private static final Logger logger = LoggerFactory.getLogger(SessionInterceptor.class);

    @Autowired

    private UserAuthService userAuthService;

    @Autowired

    private UserContext userContext;

 @Autowired

 private RedisUtil redisUtil;

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String session = request.getHeader("Authorization");

        if (StringUtils.isEmpty(session)) {

            throw new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");

        }

        HandlerMethod hm = (HandlerMethod) handler;

        //获取方法中的注解,看是否有该注解

        AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);

        if(accessLimit != null){

         int seconds = accessLimit.seconds();

         int maxCount = accessLimit.maxCount();       

         //从redis中获取用户访问的次数

         String ip = request.getHeader("x-forwarded-for"); // 有可能ip是代理的

            if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {      

                ip = request.getHeader("Proxy-Client-IP");      

            }      

            if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {      

                ip = request.getHeader("WL-Proxy-Client-IP");      

            }      

            if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {      

                 ip = request.getRemoteAddr();      

            } 

         Integer count = (Integer)redisUtil.get(RedisKey.SECOND_ACCESS + ip);

         if(count == null){

          //第一次访问

        redisUtil.set(RedisKey.SECOND_ACCESS + ip, 1, seconds);

         }else if(count < maxCount){

          //加1

          count = count + 1;

       redisUtil.incr(RedisKey.SECOND_ACCESS + ip, count);

         }else{

          //超出访问次数

                logger.info("访问过快ip ===> " + ip + " 且在 " + seconds + " 秒内超过最大限制 ===> " + maxCount + " 次数达到 ====> " + count);

          response.setCharacterEncoding("UTF-8");          response.setContentType("application/json; charset=utf-8");

          ReturnObject result = new ReturnObject();         result.setCode(ReturnCode.OPERATION_FAILED.getCode());

          result.setData("操作太快了");

          Object obj = JSONObject.toJSON(result);         response.getWriter().write(JSONObject.toJSONString(obj));

          return false;

         }

        }       

        Integer userId = userAuthService.getUserIdBySession(session);

        //获取登录的session进行判断

        if (userId == null || userId == 0) {

            throw new UserException(ReturnCode.BAD_REQUEST, "无效session");

        }       

        userContext.setUserId(userId);

        return super.preHandle(request, response, handler);

    }

}

 

添加拦截器

@Configuration

public class WebConfig extends WebMvcConfigurationSupport { 

    @Autowired

    private SessionInterceptor interceptor;

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(interceptor);

    }

}

这里采用了注解方式(拦截器),结合redis来存储请求次数,达到上限就不让用户操作。当然,redis有时间限制,到了时间用户可以再次请求接口的。

 

 

 

不平衡的叉叉树
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
覆盖时间戳_给图像添加时间戳_
09-29
给图像添加时间戳字符颜色与底色反色字体大小和图像大小成比例
全网最细,Fiddler抓包实战教程-辅助接口测试(三)
最新发布
大佬云集技术答疑交流群:743262921(进群暗号:222)
07-06 400
AutoResponder 请求重定向目的:允许从本地返回文件,代替服务器响应,而不用将文件发布到服务器【可用正式环境验证本地文件】。Fiddler的AutoResponder重定向功能,主要是时进行会话的拦截,然后替换原始资源的功能。1、什么是请求重定向?所谓请求无非就是需要调用到的一些资源(包括JS、CSS和图片等),所谓重定向就是将页面原本需要调用的资源指向其他资源(你能够控制的资源或者可以引用到的资源)。2、为什么要用这个功能?
python脚本实战---修改时间戳接口请求
CDY_yuan的博客
07-21 423
涉及模块 1、python日期与时间戳的转换 2. 获取非当前日期时间戳 3. 更新sql数据 4. 接口调用 需求点: 修改data_user_cpl_reward表中数据A为前一日数据 调用清除缓存接口 导入模块 import mysql.connector import requests,json import time from datetime import datetime,timedelta 获取昨日当前时间戳 def yestoday(): curre
gateway请求拦截_api-gateway实践(19)HTTP请求防篡改
weixin_30540871的博客
12-31 1134
一、概念和定义1、什么是重放攻击?我们在设计接口的时候,最担心一个接口被别有用心的用户截取后,用于重放攻击。重放攻击是什么呢?就是把请求被原封不动地重复发送,一次,两次...n次。2、重放攻击造成的后果一般的请求被提交到后台执行,先会经过【页面验证】后提交给【后台逻辑】,提交给【后台逻辑】过程中请求可能会被被拦截,如果这个【后台逻辑】是插入数据库操作,就很容易造成多条重复的数据插入数据库。如果这个...
拦截请求参数,对参数进行处理: No modifications are allowed to a locked ParameterMap
weixin_42578316的博客
12-14 1907
报错背景:后端解决重复提交问题,拦截请求参数,对参数进行处理。因为前端参数中有调用接口的当前时间戳,将所有参数一起放入session作校验 会出现无法校验参数是否一致的问题,所以想删除这个时间戳参数。把参数放入session中后在作校验。 执行到 remove方法的时候报错了:No modifications are allowed to a locked ParameterMap 。 经过排查发现是报错的原因是: 拦截器中,拦截请求参数,对参数进行处理。 但是 java中对象直接进行等于操作的时.
计算16进制校验位 要按字节进行“异或”后,取非
08-31
校验码= (【数据包编号】+【时间戳】+【功能代码】+【网关代码】+【数据 长度】+【数据信息】6 部分内容异或后,取非)
接口统一加时间戳接口避免缓存)
MYG_G
09-07 6162
接口统一加时间戳接口避免缓存) 如何获取时间戳 let time = new Date().getTime(); 1.axios 如果你们请求接口用的是axios的话,可以用路由拦截器来统一加,在config.url后面统一加时间戳就可以了 借鉴于:https://www.kancloud.cn/yunye/axios/234845!!!强烈推荐看一下,很清晰!!! 我们在请求数据的时候,会出现几种情况,判断权限或者loading的显隐。这些在每一个请求都会做的事情,我们可以封装一个service的请求
怎么防止接口恶意地多次请求
weixin_68750962的博客
02-16 3778
这是因为服务器在处理大量请求时,需要消耗更多的CPU和内存资源,而频繁的拒绝请求会导致服务器花费更多的时间和资源在处理这些请求上,从而影响正常的请求处理。当服务器接收到请求时,会根据请求中的相关信息(例如请求的URL、请求的参数、请求的头部信息等)进行一系列处理,最终返回一个响应。此外,还可以考虑采用负载均衡技术,将请求分散到多台服务器上处理,以分摊服务器的负载。请求方法不支持:当客户端使用不被服务器支持的请求方法(比如使用POST请求访问只允许GET请求接口)时,服务器可以拒绝请求,返回405状态码。
前端处理:连续发送多个相同请求,只处理最后一个请求的情况
weixin_53068161的博客
08-21 2154
应用场景包括有:搜索功能配置,音乐播放器配置等请求响应时间有一定延迟,可能会出现数据混乱的场景。
VUE axios每次请求添加时间戳
weixin_44518466的博客
07-29 4516
service.interceptors.request.use( config => { if (store.getters.token) { config.headers['token'] = getToken() } if (config.method == 'post') { config.data = { ...config.data, _t: Date.parse(new Date()) / 1000
.NET添加时间戳防止重放攻击
10-21
主要介绍了.NET添加时间戳防止重放攻击的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
API接口手工防御被恶意调用和接口被攻击
03-29
接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用...
MySQL表中添加时间戳的几种方法
09-09
主要介绍了MySQL表中添加时间戳的几种方法,有张表的数据需要用同步工具同步至其他库,需要 update_time 时间戳字段 来做增量同步,需要的朋友可以参考下
java通过sign签名+时间戳的方式防止rest接口恶意抓包调用和重放
Ivan梦方舟的博客
07-26 1万+
做后端开发,避免不了要写接口,最开始我们写接口是为了满足实现具体的功能,能在客户端正常调用就行了,这种接口称为裸接口,就跟一个人没有穿衣服一样,我们在家的时候当然可以这么做,肆意放荡,这没关系,但是人总是要出门的,接触一些外人,这时候赤身裸体就不太好了吧。所有这时候我们要给自己穿上一件衣服。我们的接口也是一样的,一旦我们的接口上线暴露给外界了,必须要做一定的防护措施,给接口穿上“一件衣服”,避免一...
抓包工具Fiddler篡改请求响应报文
青云小轩
12-26 1995
简介 客户端和服务器通信发送报文进行通讯,但这些报文可以被截获修改进行一些攻击。对于web端和app都可以查看源码判断解密算法,并且大部分情况下都可以伪造响应报文,尤其是未加密和签名的报文。对于RSA加密报文可以利用之前获取成功报文,直接返回给特殊功能进行绕过攻击。例如截获新增用户成功响应的报文【可以是加密后的报文】,在验证短信界面直接截获返回成功响应的报文给验证短信界面。如果客户端未采取包顺序标...
Java场景面试题:短信验证码接口被狂刷,怎么办?
Tom弹架构
02-23 1597
请问短信验证码接口被狂刷,搞得服务都快要崩溃了,我该怎么办?
接口服务数据被劫包,如何防止数据恶意提交(道乐)
weixin_30404405的博客
04-24 500
恶意提交攻击 1.拦截修改:客户端发送到服务端接口请求被第三方拦截,然后修改数据,再提交给客户端执行 例如: 客户端发送了将username重置为“小明”的请求 第三方拦截修改为username重置为"小红" 然后提交给服务器执行 服务器认证了用户身份后(cookie或token都是客户端发出的,因此能通过认证) 那么客户端的username就被修改为“小红” ...
校验时间有效期,接口设置时间戳有效时间
MyNameIsXX的专栏
05-22 427
校验有效期,接口设置时间戳有效时间
Autowired注解与Resource注解的区别
热门推荐
NoviceZ的博客
09-09 4万+
两者的用法 其实这两个注解的作用都一样,都是在做bean的注入,在使用过程中,两个注解有时候可以替换使用. 两者的共同点 @Resource注解和@Autowired注解都可以用作bean的注入. 在接口只有一个实现类的时候,两个注解可以互相替换,效果相同. 两者的不同点 @Resource注解是Java自身的注解,@Autowired注解是Spring的注解. @Resource注解有两个重要的属性,分别是name和type,如果name属性有值,则使用byName的自动注入策略,将值作为需要
linux终端如何加上时间,添加时间戳到终端提示?
05-24
你可以在 Linux 终端中添加时间戳,可以通过修改 PS1 环境变量来实现。下面是方法: 1. 打开终端 2. 执行下面的命令 ``` export PS1="\t \u@\h:\w$ " ``` 这个命令会在终端提示符上添加时间戳。"\t" 表示添加时间戳。"\u" 表示当前用户名。"\h" 表示主机名。"\w" 表示当前工作目录。 如果你想在时间戳添加日期,请使用以下命令: ``` export PS1="\D{%F %T} \u@\h:\w$ " ``` 这个命令会在终端提示符上添加日期和时间戳。"\D{%F %T}" 表示添加日期和时间戳。 如果你想在每行命令前都添加时间戳,请将上述命令添加到 ~/.bashrc 文件中,这样每次打开终端时,时间戳都会自动添加到终端提示符上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值