SpringBoot接口恶意爆刷请求+redis分布式锁

最新推荐文章于 2023-11-23 20:12:58 发布
最新推荐文章于 2023-11-23 20:12:58 发布
阅读量316 收藏 1
点赞数
分类专栏: 工具篇 Spring boot 文章标签: spring boot redis 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pluto372/article/details/125430462
版权

在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的;

代码展示

首先工程为springboot框架搭建,不再详细叙述。直接上核心代码。
首先创建一个自定义的拦截器类,也是最核心的代码;
1、引入依赖

    <!--springboot redis依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
  		 <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

2、配置文件yml编写

spring:
  redis:
    database: 3 # Redis数据库索引(默认为0)
    host: 192.168.152.173 # Redis服务器地址
    port: 6379 # Redis服务器连接端口
    password:  # Redis服务器连接密码(默认为空)
    timeout: 2000  # 连接超时时间(毫秒)
    jedis:
      pool:
        max-active: 200         # 连接池最大连接数(使用负值表示没有限制)
        max-idle: 20         # 连接池中的最大空闲连接
        min-idle: 0         # 连接池中的最小空闲连接
        max-wait: -1       # 连接池最大阻塞等待时间(使用负值表示没有限制)

3、拦截器类:

import com.example.zsn.utils.RedisUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description:
 * @Author: zhouzhou
 * 2022/6/23 10:39
 */
@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {
    @Resource
    private RedisUtil redisUtil;

    private static final String LOCK_IP_URL_KEY="lock_ip_";

    private static final String IP_URL_REQ_TIME="ip_url_times_";

    private static final long LIMIT_TIMES=5;

    private static final int IP_LOCK_TIME=60;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        String remoteAddr = httpServletRequest.getRemoteAddr();
        String requestURI = httpServletRequest.getRequestURI();
        log.info("request请求地址uri={},ip={}", requestURI, remoteAddr);
        if (ipIsLock(remoteAddr)){
            log.info("ip访问被禁止={}",remoteAddr);
            return false;
        }
        if(!addRequestTime(remoteAddr,requestURI)){
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }

    /**
     * @Description: 判断ip是否被禁用
     * @author: shuyu.wang
     * @date: 2019-10-12 13:08
     * @param ip
     * @return java.lang.Boolean
     */
    private Boolean ipIsLock(String ip){
        if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){
            return true;
        }
        return false;
    }
    /**
     * @Description: 记录请求次数
     * @author: shuyu.wang
     * @date: 2019-10-12 17:18
     * @param ip
     * @param uri
     * @return java.lang.Boolean
     */
    private Boolean addRequestTime(String ip,String uri){
        String key=IP_URL_REQ_TIME+ip+uri;
        if (redisUtil.hasKey(key)){
            long time=redisUtil.incr(key,(long)1);
            if (time>=LIMIT_TIMES){
                redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);
                return false;
            }
        }else {
            redisUtil.getLock(key,(long)1,1);
        }
        return true;
    }

}

代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;

拦截器配置类

import com.example.zsn.interceptor.IpUrlLimitInterceptor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @Description:
 * @Author: zhouzhou
 * 2022/6/23 10:43
 */
@Configuration
@Slf4j
public class InterceptorConfig implements WebMvcConfigurer {

    @Bean
    IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
        return new IpUrlLimitInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");

    }
}

redis 配置:

import com.fasterxml.jackson.annotation.JsonAutoDetect;
import com.fasterxml.jackson.annotation.PropertyAccessor;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.cache.annotation.CachingConfigurerSupport;
import org.springframework.cache.annotation.EnableCaching;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.Jackson2JsonRedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;

/**
 * @Description:
 * @Author: zhouzhou
 * 2022/6/23 16:20
 */
@Configuration
@EnableCaching
public class RedisConfig extends CachingConfigurerSupport{

        /**
         * RedisTemplate相关配置
         * 使redis支持插入对象
         *
         * @param factory
         * @return 方法缓存 Methods the cache
         */
        @Bean
        public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) {
            RedisTemplate<String, Object> template = new RedisTemplate<>();
            // 配置连接工厂
            template.setConnectionFactory(factory);
            // 设置key的序列化器
            template.setKeySerializer(new StringRedisSerializer());
            // 设置value的序列化器
            //使用Jackson 2,将对象序列化为JSON
            Jackson2JsonRedisSerializer jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer(Object.class);
            //json转对象类,不设置默认的会将json转成hashmap
            ObjectMapper om = new ObjectMapper();
            om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
            om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
            jackson2JsonRedisSerializer.setObjectMapper(om);
            template.setValueSerializer(jackson2JsonRedisSerializer);
            return template;
        }

}

redis 工具类

import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.script.DefaultRedisScript;
import org.springframework.data.redis.core.script.RedisScript;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import java.util.Collections;


/**
 * @Description:
 * @Author: zhouzhou
 * 2022/6/23 10:41
 */
@Slf4j
@Component
public class RedisUtil {
    private static final Long SUCCESS = 1L;
    @Resource
    private RedisTemplate<String, Object> redisTemplate;

    /**
     * 获取锁
     * @param lockKey
     * @param value
     * @param expireTime:单位-秒
     * @return
     */
    public boolean getLock(String lockKey, Object value, int expireTime) {
        try {
            log.info("添加分布式锁key={},expireTime={}",lockKey,expireTime);
            String script = "if redis.call('setnx',KEYS[1],ARGV[1]) == 1 then  return redis.call('expire',KEYS[1],ARGV[2])  else return 0 end";
            RedisScript<Long> redisScript = new DefaultRedisScript<>(script, Long.class);
            Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);
            if (SUCCESS.equals(result)) {
                return true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return false;
    }

    /**
     * 释放锁
     * @param lockKey
     * @param value
     * @return
     */
    public boolean releaseLock(String lockKey, String value) {
        String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";
        RedisScript<Long> redisScript = new DefaultRedisScript<>(script, Long.class);
        Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);
        if (SUCCESS.equals(result)) {
            return true;
        }
        return false;
    }
    /**
     * 是否存在key
     *
     * @param key
     * @return
     */
    public Boolean hasKey(String key) {
        return redisTemplate.hasKey(key);
    }

    /**
     * 增加(自增长), 负数则为自减
     *
     * @param key
     * @return
     */
    public Long incr(String key, long increment) {
        return redisTemplate.opsForValue().increment(key, increment);
    }
}

自己随便写个测试类
在这里插入图片描述
浏览器多请求一下。
在这里插入图片描述

问题记录

1.java.lang.IllegalStateException

在返回值方面,会经常报java.lang.IllegalStateException

RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);

用String类型时候,经常会报类型转换异常。我在代码中使用的Long类型接收该类型,在命令行中我们也看到命令行结果返回的是数字0或者1,保险起见我们也可以用Object对象来接收结果集。

2.ERR value is not an integer or out of range

分析,可能是值的类型不对或长度太长了?
1、修改value 的长度以后错误仍然存在。
2、在分析是不是返回值的类型不对,改为Integer后,又抛出另一个错误
就是redis 值序列化的问题,由于个人能力的问题,对部分源码有点未理解,所以没有做到全方位的解读这些异常。这个是莫名其妙解决了。

感谢博主,让我解决了第一个问题
https://blog.csdn.net/weixin_38405253/article/details/124854363

Pluto372
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java jedis connect timed out_jedis的Read timed out异常解决
weixin_34092535的博客
02-28 1104
工作中,遇到timeout报错:org.springframework.data.redis.RedisConnectionFailureException: java.net.SocketTimeoutException: Read timed out; nested exception is redis.clients.jedis.exceptions.JedisConnectionExcep...
Springboot过滤器禁止ip频繁访问功能实现
08-19
主要介绍了Springboot过滤器禁止ip频繁访问功能实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Could not get a resource from the pool 问题解决
热门推荐
谦怀
09-01 11万+
Could not get a resource from the pool 问题解决 今天测试项目的时候,界面提示 Could not get a resource from the pool报错信息。登录后台,查询对应的java报错日志 报错信息: redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool 到这里可以确定的是redis连接出了问题。..
Redis遇到过的问题(Could not get a resource from the pool)
weixin_43609618的博客
03-15 2万+
redis问题解决
Could not get a resource from the pool 错误解决
boyames的博客
04-20 8223
Could not get a resource from the pool 错误解决 错误信息:Could not get a resource from the pool 可能造成错误原因: 1 没关闭Linux火墙 查看火墙状态 systemctl status firewalld.service Active: active(running),说明火墙是开启状态 关闭火墙命令 systemctl stop firewalld.service Active: inactive (dead)
springboot中application.properties文件redis的配置
吴成伟的博客
10-26 9513
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连...
springboot基于redis接口恶意刷新和暴力请求
01-17
本篇文章将深入探讨如何利用Spring BootRedis接口恶意刷新和暴力请求。 首先,我们需要理解什么是接口恶意刷新和暴力请求恶意刷新通常指短时间内对同一个接口进行大量的重复调用,这可能是为了执行恶意...
基于SpringBoot+MyBatis+Redis+RabbitMQ 实现的秒杀系统.zip
09-11
另外,Redis还可以作为分布式锁止同一用户多次参与秒杀。 4. **RabbitMQ**:RabbitMQ是基于AMQP协议的消息队列服务,用于解耦生产者和消费者。在秒杀系统中,当用户成功抢购后,消息可以被发送到RabbitMQ,然后...
springboot+redis+
05-09
- **限流控制**:通过Redis的原子操作(如自增自减)限制同一用户请求次数,恶意刷单。 - **队列处理**:使用Redis的List数据结构,将超出秒杀限额的请求放入队列,按顺序处理,保证公平性。 - **结果通知**...
基于 SpringBoot+Redis+RabbitMQ 的秒杀项目系统.zip
最新发布
05-18
2. **请求验证**:在接收到秒杀请求后,首先进行用户合法性验证,恶意请求。 3. **Redis操作**:使用Redis处理秒杀请求,如减扣库存,记录已秒杀成功的用户等。 4. **消息队列**:使用RabbitMQ将秒杀请求放入...
springboot+redis实现网站限流和接口刷功能.zip
09-29
综上所述,通过Spring BootRedis的组合,我们可以构建一个强大的限流系统,既能保护服务器免受恶意请求的冲击,也能确保正常用户的使用体验。在实际应用中,需要根据业务场景选择合适的限流策略,并结合监控和报警...
SpringBootRedis报错:NOAUTH Authentication required.; nested exception is redis.clients.jedis.exceptio
live的专栏
01-15 8832
SpringBootRedis报错:NOAUTH Authentication required.; nested exception is redis.clients.jedis.exceptions.JedisDataException: NOAUTH Authentication required. 1、复现 org.springframework.dao.InvalidDataAccessApiUsageException: NOAUTH Authentication required.; ne
redis中 Could not get a resource from the pool 异常解决
学习 记录 总结 分享
11-25 2万+
描述 这个错误产生的前提是这样的,将数据存入redis(新安装的)中,在通过连接池获取jedis实例时,产生如下错误( Could not get a resource from the pool)。 分析: 由于是新安装的redis,配置文件没有更改,低级的错误浪费不少时间,写一篇文章,让同样犯这种错误的朋友别再浪费时间。 解决: 更改配置文件 redis.conf 中两处 1.将 bind 127.0.0.1 注释掉 2.将 protected-mode 改为 no bind 127.0.0
Redis报错:JedisConnectionException: Could not get a resource from the pool
snowyar的专栏
11-23 6277
一次命令时间(borrow|return resource + Jedis执行命令(含网络) )的平均耗时约为1ms,一个连接的QPS大约是1000,业务期望的QPS是50000,那么理论上需要的资源池大小是50000 / 1000 = 50个,实际maxTotal可以根据理论值合理进行微调。JedisPool默认的maxTotal=8,下面的代码从JedisPool中借了8次Jedis,但是没有归还,当第9次(jedisPool.getResource().ping())3、发生异常可能的情况。
解决redis中 Could not get a resource from the pool 异常
qq_34103387的博客
04-24 4万+
Could not get a resource from the pool 中文翻译:无法从池中获取资源 导致:redis的缓存崩溃 出现原因:1.最大链接数量超标,2.资源未回收 解决1方式:调大你的缓存配置参数 最小能够保持idel状态的对象数 minIdle=500 当池内没有返回对象时,最大等待时间 maxWaitMillis=10000 解决2方式:成功关...
Jedis Could not get a resource from the pool
耕云者~
12-30 3305
Jedis Could not get a resource from the pool一、错误描述二、逐一排查2.1 网络检查2.2 JedisPool连接数设置检查2.3 JedisPool连接池代码检查2.4 检查是否发生nf_conntrack丢包2.5 检查是否TIME_WAIT问题2.6 检查是否DNS问题三、总结 一、错误描述 使用Jedis连接池模式的时候容易出现的错误是无法获取连...
客户端报错:Could not get a resource from the pool
kris
11-22 2344
客户端报错:Could not get a resource from the pool 1. 原因&解决方案 并发确实太高,链接池配置参数不合理 解决方案:调整配置参数;扩容节点 Redis执行队列被大量操作或者耗时操作占用 解决方案:优化慢操作;禁止慢操作 存在热key 解决方案:拆分key,分散压力到各个redis节点;增加本地内存,先查本地内存,查不到再去redis 某个节点链接池耗尽 解决方案:解决数据倾斜问题 执行耗时命令导致ping超时 解决方案:禁用耗时命令,如:
Redis - 连接服务 出现Jedis客户端获取不到资源(Could not get a resource from the pool )
m0_51051154的博客
01-14 1万+
经历描述: 在一次springboot项目里使用Redis做缓存,记录某网页访问次数的时,连接异常,一直报 redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool at redis.clients.util.Pool.getResource(Pool.java:53) at redis.clients.jedis.JedisPool.getR
使用java+springboot+springaop+redis+自定义注解,写一个redis分布式锁
03-21
可以使用以下代码实现: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface RedisLock { String key(); long expire() default 30000; long timeout() default 10000; } @Component @Aspect public class RedisLockAspect { private static final Logger logger = LoggerFactory.getLogger(RedisLockAspect.class); @Autowired private RedisTemplate<String, Object> redisTemplate; @Around("@annotation(redisLock)") public Object around(ProceedingJoinPoint joinPoint, RedisLock redisLock) throws Throwable { String key = redisLock.key(); long expire = redisLock.expire(); long timeout = redisLock.timeout(); String value = UUID.randomUUID().toString(); long start = System.currentTimeMillis(); while (System.currentTimeMillis() - start < timeout) { if (redisTemplate.opsForValue().setIfAbsent(key, value, expire, TimeUnit.MILLISECONDS)) { try { return joinPoint.proceed(); } finally { redisTemplate.delete(key); } } Thread.sleep(100); } throw new RuntimeException("获取锁超时"); } } ``` 这段代码定义了一个 RedisLock 注解,用于标记需要加锁的方法。在 RedisLockAspect 类中,使用 @Around 注解拦截被 RedisLock 标记的方法,并实现了分布式锁的逻辑。具体来说,它会在 Redis 中尝试设置一个 key,如果设置成功,则表示获取到了锁,执行方法并在方法执行完成后释放锁;否则会等待一段时间后重试,直到超时。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值