秒杀功能(8)安全优化二

最新推荐文章于 2020-11-08 00:15:41 发布
最新推荐文章于 2020-11-08 00:15:41 发布
阅读量241 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Serena0814/article/details/90171708
版权

数学公式验证码

这部分主要讲解的是在获取秒杀地址前增加验证码的功能,作用有两点:

  1. 防止机器恶意刷秒杀按钮
  2. 分散用户请求,减少服务器并发处理负担

代码流程为:

  1. 前端在渲染页面时,若是可以秒杀的阶段,则要调用后端生成数字验证码;
  2. 后端生成验证码的图片后,把答案存在了redis中(设置时间是300s),把图片返回到前端;
  3. 用户需要在页面先填写验证码,才能点击“立即秒杀按钮”。在点击立即秒杀按钮后,会先获取随机的秒杀路径,在获取路径之前会先验证验证码是否正确;
  4. 验证时,从redis中获取,若正确则需要在redis中删除该验证码。

生成验证码部分
MiaoshaController中的getMiaoshaVerifyCod方法:

	@RequestMapping(value = "/verifyCode", method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaVerifyCod(HttpServletResponse response,@RequestParam("goodsId") long goodsId,
                                              @CookieValue(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String cookieToken,
                                              @RequestParam(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String paramToken) {
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return Result.error(CodeMsg.SESSION_ERROR);//token不存在或失效
        }
        String token = StringUtils.isEmpty(paramToken) ? cookieToken : paramToken;
        MiaoshaUser user = userService.getByToken(response, token);//从token中读用户信息

        try {
            BufferedImage image = miaoshaService.createVerifyCode(user, goodsId);
            OutputStream out = response.getOutputStream();
            ImageIO.write(image, "JPEG", out);
            out.flush();
            out.close();
            return null;
        } catch (Exception e) {
            e.printStackTrace();
            return Result.error(CodeMsg.MIAOSHA_FAIL);
        }
    }

MiaoshaService中的相关方法的代码:

	public BufferedImage createVerifyCode(MiaoshaUser user, long goodsId) {
        if (user == null || goodsId <= 0) {
            return null;
        }
        int width = 80;
        int height = 32;
        //create the image
        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
        Graphics g = image.getGraphics();
        // set the background color
        g.setColor(new Color(0xDCDCDC));
        g.fillRect(0, 0, width, height);
        // draw the border
        g.setColor(Color.black);
        g.drawRect(0, 0, width - 1, height - 1);
        // create a random instance to generate the codes
        Random rdm = new Random();
        // make some confusion
        for (int i = 0; i < 50; i++) {
            int x = rdm.nextInt(width);
            int y = rdm.nextInt(height);
            g.drawOval(x, y, 0, 0);
        }
        // generate a random code
        String verifyCode = generateVerifyCode(rdm);
        g.setColor(new Color(0, 100, 0));
        g.setFont(new Font("Candara", Font.BOLD, 24));
        g.drawString(verifyCode, 8, 24);
        g.dispose();
        //把验证码存到redis中
        int rnd = calc(verifyCode);
        redisService.set(MiaoshaKey.getMiaoshaVerifyCode, user.getId() + "," + goodsId, rnd);
        //输出图片
        return image;
    }

    private static char[] ops = new char[]{'+', '-', '*'};

    /**
     * + - *
     */
    private String generateVerifyCode(Random rdm) {
        int num1 = rdm.nextInt(10);
        int num2 = rdm.nextInt(10);
        int num3 = rdm.nextInt(10);
        char op1 = ops[rdm.nextInt(3)];
        char op2 = ops[rdm.nextInt(3)];
        String exp = "" + num1 + op1 + num2 + op2 + num3;
        return exp;
    }
    
    //计算验证码的值
	private static int calc(String exp) {
        try {
            ScriptEngineManager manager = new ScriptEngineManager();
            ScriptEngine engine = manager.getEngineByName("JavaScript");
            return (Integer) engine.eval(exp);
        } catch (Exception e) {
            e.printStackTrace();
            return 0;
        }
    }

验证验证码的部分
由于是在获取随机秒杀路径前判断验证码是否正确,故其与MiaoshaController的getMiaoshaPath方法有关:

	@RequestMapping(value = "/path", method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(HttpServletResponse response, @RequestParam("goodsId") long goodsId,
                                         @CookieValue(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String cookieToken,
                                         @RequestParam(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String paramToken,
                                         @RequestParam(value = "verifyCode", defaultValue = "0") int verifyCode) {
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return Result.error(CodeMsg.SESSION_ERROR);//token不存在或失效
        }
        String token = StringUtils.isEmpty(paramToken) ? cookieToken : paramToken;
        MiaoshaUser user = userService.getByToken(response, token);//从token中读用户信息

        //验证码校验
        boolean check = miaoshaService.checkVerifyCode(user, goodsId, verifyCode);
        if (!check) {
            return Result.error(CodeMsg.REQUEST_ILLEGAL);
        }
        String path = miaoshaService.createMiaoshaPath(user, goodsId);
        return Result.success(path);
    }

MiaoshaService的相关代码:

	public boolean checkVerifyCode(MiaoshaUser user, long goodsId, int verifyCode) {
        if (user == null || goodsId <= 0) {
            return false;
        }
        Integer codeOld = redisService.get(MiaoshaKey.getMiaoshaVerifyCode, user.getId() + "," + goodsId, Integer.class);
        if (codeOld == null || codeOld - verifyCode != 0) {
            return false;
        }
        redisService.delete(MiaoshaKey.getMiaoshaVerifyCode, user.getId() + "," + goodsId);
        return true;
    }
Serena0814
关注
秒杀系统架构优化思路
shenjian58的博客
04-06 644
本文曾在“架构师之路”上发布过,近期支援Qcon-AS大会,在微信群里分享了该话题,故对原文进行重新整理与发布。一、秒杀业务为什么难做1)im系统,例如qq或者微博,每个...
秒杀功能(7)安全优化
Serena0814的博客
05-13 453
安全优化 从本篇开始讲秒杀系统的安全优化。主要分为三大块: 秒杀接口地址隐藏 数学公式验证码 接口限流防刷 秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。 该操作:可以为了防止,恶意用户登陆之后,获取tok...
秒杀功能优化
wxgaws的博客
11-08 69
秒杀功能优化目标应该时尽可能覆盖更多的用户数,让更多得用户感受到自己确实能秒杀到。 不能让用户感觉,自己网不行所以抢不到,这是算法设计的缺陷。
秒杀功能(9)安全优化
Serena0814的博客
05-14 401
接口限流防刷 为了防止恶意用户在短时间(如1秒内)刷网页访问太多次(如几百次),我们做了这个接口限流防刷的优化。 初步版本(Redis) 思路是:限制用户在若干秒内访问秒杀网站若干次之内。(如限制用户在5秒内只能访问网站5次) 代码逻辑: 在用户点击“立即秒杀”按钮时,会先访问/miaosha/path路径获取随机秒杀地址,在这之前会进行是否访问次数过多的判断; 在某用户首次访问时现在redis...
秒杀功能 页面优化技术
DQchat的博客
08-22 469
1. 页面缓存+url缓存+对象缓存 2. 页面静态化技术 3. 前后端分离 4. cdn优化 页面缓存: 取缓存(从redis中取缓存的html) 手动渲染(如果使用thymeleafViewResolver.getTemplateEngine()渲染 ) 需要加上@ResponseBody ,RequestMapping(produces="text/html")...
高并发秒杀系统优化
JavaLab
11-08 2780
首先我们要清楚,高并发发生在哪些部分,然后正对不同的模块来进行优化 红色为高并发对性能影响较大的部分。 1.详情页部署到CDN节点上用户在秒杀开始之前,会对详情页做大量的刷新操作。 所以我们将详情页部署到CDN上,CDN将详情页做静态化处理。 这样其实用户访问的静态页的html已经不在秒杀系统上了,而在CDN节点上。 其实访问静态资源和静态页面是不用访问我们的系统服务器的,所以我们要单
Python实现京东秒杀功能代码
09-19
### Python 实现京东秒杀功能详解 #### 一、引言 随着互联网技术的发展与普及,电子商务平台成为了人们日常生活中不可或缺的一部分。为了吸引用户、提高销量,各大电商平台经常会推出限时秒杀活动。对于用户而言,...
秒杀系统:第4章 秒杀功能开发及管理后台
01-08
在本章中,我们将深入探讨如何利用Java技术进行秒杀功能的开发以及构建相应的管理后台。 首先,我们需要理解秒杀系统的架构设计。秒杀活动通常涉及到高并发的场景,因此系统的稳定性、响应速度和数据一致性至关重要...
ssmWEB系统秒杀优化设计可用于毕业设计.zip
08-13
总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后对系统进行功能测试,并对测试结果...
Java秒杀系统方案优化 3--第3章 秒杀功能开发及管理后台
chenzj
09-11 489
第3章 秒杀功能开发及管理后台 3-1 商品列表页 3-2 商品详情页上 3-3 商品详情页下 这三个小模块感觉没啥好说的,都是简单的查询功能,这里就跳过 3-4 秒杀功能实现 这小节也是简单的增加数据的功能,具体代码如下: @RequestMapping("/do_miaosha") public String list(Model model,Miaosha...
Java秒杀系统方案优化 高性能高并发实战,学习手记(九)
方圆 Blog
07-18 1945
安全优化:动态秒杀地址+数学公式验证码+接口限流防刷
电商课题:对付秒杀器等恶意访问行为的简单梳理
weixin_34234823的博客
09-18 178
201208 @郑昀 -秒杀器爱好者的技能点- OCR识别 掌握一般的验证码图片识别OCR技术,多数局限于英文和数字字符的OCR识别,随着背景干扰加大,识别率急剧降低 表单提交 提前准备好表单 自动填写表单,自动提交 自定义快捷键 题库 针对特定电商,提前收集秒杀问题的题库 录制回放 利用“按键精灵”软件录制鼠标键盘动作并进行回放 ...
秒杀技术的实现以及相应防作弊策略介绍
lee_123456_lee的专栏
09-11 6295
一、前言 最近涉及到了秒杀这一块的需求,然后就详细了解了一下秒杀的策略。 、介绍 1. 秒杀,通俗的说就是在一个特定的时间点,有一定数量的商品,大家都来抢,拼的是速度,拼的就是键盘手。下面就从我自己的角度整体描述一下秒杀的过程。 整体分为3层,ui层、service层、DB层; 1.1 ui层最为和用户直接交互层,分为API和MIS,API是秒杀的接口,MIS为秒杀活动详细信息
秒杀系统性能测试和优化
OWEN_7的博客
10-23 5596
对于大并发量的系统,有几个可能需要优化的点,下面我们要一步步测试来优化这个系统。测试目标对于一个系统,几个常用的评价指标是:平均响应时间、吞吐率、qps等。我的测试主要测试3个接口 主页(访问根路径,没有数据库交互) 秒杀接口暴露(暴露秒杀接口,有后台数据交互) 执行秒杀操作(插入秒杀成功记录和减库存一个完整的事务操作) 对于这三个接口,我们主要的测试目标和优化目标是平均响应时间,当然这是建立在数据
解除劳动合同五大热点问题及裁员概述.ppt
09-14
解除劳动合同五大热点问题及裁员概述.ppt
暴风TV 43X-45X-50X-55X、43B2-50B2-55B2升级程序
09-14
暴风TV 43X-45X-50X-55X、43B2-50B2-55B2升级程序 暴风 Amlogic T866-H平台 1.0.42版本 本地升级: 1、将本地升级软件包“update”拷贝至U盘里,插入电视USB端口,打开电视进入系统设置选择本地升级。 2、选择本地升级,遥控点击确认,主板检测到U盘里面的软件进行升级,如下图所示。 3、首先效验软件,若软件不对或者软件未完整下载会导致效验失败,效验成功后如下图所示。 4、升级过程中会擦除以前的数据烧录新的软件后重启系统,整个过程大约3-5分钟,切勿断电或拔掉U盘。 升级完成后可以在系统设置——本机信息——查询软件版本更新状态 注意: 1、U盘要求使用FAT32格式,建议4G-8G的品牌U盘,刷机成功率会高 2、升级到结束,大约需要8-30分钟,中途绝对不能断电 3、升级重启第一次进入系统,请等完全正常进入开机桌面之后,才能拨下U盘
基于Springboot和Mysql的中小企业设备管理系统代码,包括程序,中文注释,配置说明操作步骤
09-14
中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统-中小企业设备管理系统 1、资源说明:中小企业设备管理系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows
暴风电视刷机数据 43X-45X-50X-55X、43B2-50B2-55B2升级程序 1.045版本
最新发布
09-14
暴风TV 43X-45X-50X-55X、43B2-50B2-55B2升级程序 暴风 Amlogic T866-H平台 1.0.45版本 本地升级: 1、将本地升级软件包“update”拷贝至U盘里,插入电视USB端口,打开电视进入系统设置选择本地升级。 2、选择本地升级,遥控点击确认,主板检测到U盘里面的软件进行升级,如下图所示。 3、首先效验软件,若软件不对或者软件未完整下载会导致效验失败,效验成功后如下图所示。 4、升级过程中会擦除以前的数据烧录新的软件后重启系统,整个过程大约3-5分钟,切勿断电或拔掉U盘。 升级完成后可以在系统设置——本机信息——查询软件版本更新状态 注意: 1、U盘要求使用FAT32格式,建议4G-8G的品牌U盘,刷机成功率会高 2、升级到结束,大约需要8-30分钟,中途绝对不能断电 3、升级重启第一次进入系统,请等完全正常进入开机桌面之后,才能拨下U盘
秒杀业务实战:架构优化与技术挑战
实现秒杀业务不仅涉及到前端用户体验的设计,还有后端系统的架构优化、数据安全性以及与基础设施的高效配合。通过精心策划和精细运维,才能在满足高并发需求的同时,提供顺畅的秒杀体验,确保系统的稳定性和可用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值