秒杀功能(9)安全优化三

最新推荐文章于 2022-05-13 20:45:11 发布
最新推荐文章于 2022-05-13 20:45:11 发布
阅读量395 收藏 5
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Serena0814/article/details/90173055
版权

接口限流防刷

为了防止恶意用户在短时间(如1秒内)刷网页访问太多次(如几百次),我们做了这个接口限流防刷的优化。

初步版本(Redis)

思路是:限制用户在若干秒内访问秒杀网站若干次之内。(如限制用户在5秒内只能访问网站5次)

代码逻辑:

  1. 在用户点击“立即秒杀”按钮时,会先访问/miaosha/path路径获取随机秒杀地址,在这之前会进行是否访问次数过多的判断;
  2. 在某用户首次访问时现在redis中设置次数:1次,有效期设置为5秒(通过redis自身的属性设置了限定时间);
  3. 当查询redis发现用户的次数小于5次时,则更新redis,进入秒杀环节,若大于5次则直接返回错误。

MiaoshaController中的相关方法的代码:

	@RequestMapping(value = "/path", method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(HttpServletResponse response, HttpServletRequest request, @RequestParam("goodsId") long goodsId,
                                         @CookieValue(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String cookieToken,
                                         @RequestParam(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String paramToken,
                                         @RequestParam(value = "verifyCode", defaultValue = "0") int verifyCode) {
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return Result.error(CodeMsg.SESSION_ERROR);//token不存在或失效
        }
        String token = StringUtils.isEmpty(paramToken) ? cookieToken : paramToken;
        MiaoshaUser user = userService.getByToken(response, token);//从token中读用户信息

        //查询访问的次数(5秒中访问不超过5次)
        String uri = request.getRequestURI();
        String key = uri + "_" + user.getId();
        Integer count = redisService.get(AccessKey.access,key,Integer.class);
        if (count == null){
            redisService.set(AccessKey.access,key,1); //时间设的5秒
        }else if (count < 5){ //这样的设置是指5秒内访问5次是正常,否则返回失败
            redisService.incr(AccessKey.access,key);
        }else {
            return Result.error(CodeMsg.ACCESS_LIMIT_REACHED);
        }


        //验证码校验
        boolean check = miaoshaService.checkVerifyCode(user, goodsId, verifyCode);
        if (!check) {
            return Result.error(CodeMsg.REQUEST_ILLEGAL);
        }
        String path = miaoshaService.createMiaoshaPath(user, goodsId);
        return Result.success(path);
    }

其中涉及到的AccessKey定义如下:

public class AccessKey extends BasePrefix {

    private AccessKey(int expireSeconds, String prefix) {
        super(expireSeconds, prefix);
    }

    public static AccessKey withExpire(int expireSeconds) {
        return new AccessKey(expireSeconds, "access");
    }

    public static AccessKey access = new AccessKey(5,"access");
}

该方法有个问题是不够通用,如果需求是在/path接口5秒内限制访问5次,而在另一接口10秒访问8次,等等;这样的需求无法用这个方法普遍适用。所以下面介绍更常用的方法。

拦截器版本

我们需要更通用的版本来实现上述功能,可以使用注解/拦截器的实现方式。

因为拦截用户是在用户在点击“立即秒杀”后,请求真实秒杀地址前先验证的,所以先改写MiaoshaController层中的getMiaoshaPath()方法。

//第二版:通过注解限流
    @AccessLimit(seconds = 5, maxCount = 5, needLogin = true)
    @RequestMapping(value = "/path", method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(HttpServletResponse response, @RequestParam("goodsId") long goodsId,
                                         @CookieValue(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String cookieToken,
                                         @RequestParam(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String paramToken,
                                         @RequestParam(value = "verifyCode", defaultValue = "0") int verifyCode) {
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return Result.error(CodeMsg.SESSION_ERROR);//token不存在或失效
        }
        String token = StringUtils.isEmpty(paramToken) ? cookieToken : paramToken;
        MiaoshaUser user = userService.getByToken(response, token);//从token中读用户信息

        //验证码校验
        boolean check = miaoshaService.checkVerifyCode(user, goodsId, verifyCode);
        if (!check) {
            return Result.error(CodeMsg.REQUEST_ILLEGAL);
        }
        String path = miaoshaService.createMiaoshaPath(user, goodsId);
        return Result.success(path);
    }

上面只加了一个自定义注解:@AccessLimit

  1. 下面要先定义该注解。
@Retention(RUNTIME)  //运行时
@Target(METHOD)  //作用于方法体上
public @interface AccessLimit {
    //三个参数
    int seconds();

    int maxCount();

    boolean needLogin() default true;
}
  1. 实现拦截器
@Service
public class AccessInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    MiaoshaUserService userService;

    @Autowired
    RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        if (handler instanceof HandlerMethod) {
            MiaoshaUser user = getUser(request, response);
            UserContext.setUser(user);
            HandlerMethod hm = (HandlerMethod) handler;
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class); //拿到方法的注解
            if (accessLimit == null) { //如果不用限流,直接通过
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean needLogin = accessLimit.needLogin();
            String key = request.getRequestURI();
            if (needLogin) {
                if (user == null) { //不进入页面
                    render(response, CodeMsg.SESSION_ERROR);
                    return false;
                }
                key += "_" + user.getId();
            } else {
                //do nothing
            }
            AccessKey ak = AccessKey.withExpire(seconds);
            Integer count = redisService.get(ak, key, Integer.class);
            if (count == null) {
                redisService.set(ak, key, 1);
            } else if (count < maxCount) {
                redisService.incr(ak, key);
            } else {
                render(response, CodeMsg.ACCESS_LIMIT_REACHED);
                return false;
            }
        }
        return true;
    }

    private void render(HttpServletResponse response, CodeMsg cm) throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        OutputStream out = response.getOutputStream();
        String str = JSON.toJSONString(Result.error(cm));
        out.write(str.getBytes("UTF-8"));
        out.flush();
        out.close();
    }

    private MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response) {
        String paramToken = request.getParameter(MiaoshaUserService.COOKI_NAME_TOKEN);
        String cookieToken = getCookieValue(request, MiaoshaUserService.COOKI_NAME_TOKEN);
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return null;
        }
        String token = StringUtils.isEmpty(paramToken) ? cookieToken : paramToken;
        return userService.getByToken(response, token);
    }

    private String getCookieValue(HttpServletRequest request, String cookiName) {
        Cookie[] cookies = request.getCookies();
        if (cookies == null || cookies.length <= 0) {
            return null;
        }
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals(cookiName)) {
                return cookie.getValue();
            }
        }
        return null;
    }

}

该拦截器继承HandlerInterceptorAdapter,具体流程为:
1)先获取用户信息(从token中),将用户设置为ThreadLocal变量,它是本地线程的副本,与线程绑定,存取只会存取在本地线程中;
2)拿到方法的注解,如果注解needLogin,则需要判断用户是否已登陆;
3)从redis中取出 由url和用户id组成的键,并判断是否大于设定次数;

其中,UserContext的定义如下:

public class UserContext {

    private static ThreadLocal<MiaoshaUser> userHolder = new ThreadLocal<MiaoshaUser>();

    public static void setUser(MiaoshaUser user) {
        userHolder.set(user);
    }

    public static MiaoshaUser getUser() {
        return userHolder.get();
    }

}
  1. 将拦截器注册到WebConfig中,这个类实现WebMvcConfigurer。
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    AccessInterceptor accessInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(accessInterceptor);
    }

}

至此就完成了接口安全优化。
秒杀的项目也结束了。

Serena0814
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
秒杀系统架构优化思路
shenjian58的博客
04-06 640
本文曾在“架构师之路”上发布过,近期支援Qcon-AS大会,在微信群里分享了该话题,故对原文进行重新整理与发布。一、秒杀业务为什么难做1)im系统,例如qq或者微博,每个...
Python实现京东秒杀功能代码
09-19
### Python 实现京东秒杀功能详解 #### 一、引言 随着互联网技术的发展与普及,电子商务平台成为了人们日常生活中不可或缺的一部分。为了吸引用户、提高销量,各大电商平台经常会推出限时秒杀活动。对于用户而言,...
秒杀功能优化
wxgaws的博客
11-08 62
秒杀功能优化目标应该时尽可能覆盖更多的用户数,让更多得用户感受到自己确实能秒杀到。 不能让用户感觉,自己网不行所以抢不到,这是算法设计的缺陷。
秒杀功能(8)安全优化
Serena0814的博客
05-13 232
数学公式验证码 这部分主要讲解的是在获取秒杀地址前增加验证码的功能,作用有两点: 防止机器恶意刷秒杀按钮 分散用户请求,减少服务器并发处理负担 代码流程为: 前端在渲染页面时,若是可以秒杀的阶段,则要调用后端生成数字验证码; 后端生成验证码的图片后,把答案存在了redis中(设置时间是300s),把图片返回到前端; 用户需要在页面先填写验证码,才能点击“立即秒杀按钮”。在点击立即秒杀按钮后,...
秒杀功能 页面优化技术
DQchat的博客
08-22 465
1. 页面缓存+url缓存+对象缓存 2. 页面静态化技术 3. 前后端分离 4. cdn优化 页面缓存: 取缓存(从redis中取缓存的html) 手动渲染(如果使用thymeleafViewResolver.getTemplateEngine()渲染 ) 需要加上@ResponseBody ,RequestMapping(produces="text/html")...
高并发秒杀系统优化
JavaLab
11-08 2769
首先我们要清楚,高并发发生在哪些部分,然后正对不同的模块来进行优化 红色为高并发对性能影响较大的部分。 1.详情页部署到CDN节点上用户在秒杀开始之前,会对详情页做大量的刷新操作。 所以我们将详情页部署到CDN上,CDN将详情页做静态化处理。 这样其实用户访问的静态页的html已经不在秒杀系统上了,而在CDN节点上。 其实访问静态资源和静态页面是不用访问我们的系统服务器的,所以我们要单
java实现京东秒杀功能分享 京东秒杀软件
09-04
在本文中,我们将探讨如何使用Java实现京东秒杀功能,这是一个自动化工具,旨在帮助用户更高效地参与京东的秒杀活动,特别是针对手机产品的秒杀。该程序主要包括以下几个核心功能: 1. 定时抓取:程序每隔一段时间...
ssmWEB系统秒杀优化设计可用于毕业设计.zip
08-13
总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后对系统进行功能测试,并对测试结果...
秒杀系统:第4章 秒杀功能开发及管理后台
最新发布
01-08
在本章中,我们将深入探讨如何利用Java技术进行秒杀功能的开发以及构建相应的管理后台。 首先,我们需要理解秒杀系统的架构设计。秒杀活动通常涉及到高并发的场景,因此系统的稳定性、响应速度和数据一致性至关重要...
秒杀系统视频:第3章 实现用户登录以及分布式session功能
01-08
这两个功能是确保系统安全性和用户体验的关键。 首先,用户登录功能是任何在线系统的基础。在这个过程中,我们需要处理用户的身份验证和授权。在Java环境下,我们可以使用Spring Security框架来实现这一功能。...
【学习笔记】seckill-秒杀项目--(10)安全优化
qq_43950000的博客
05-13 852
引言 当我们秒杀开始时,不会直接调秒杀接口,而是获取真正秒杀接口的地址,根据每个用户秒杀的不同商品是不一样的。这样可以避免有些人提前通过脚本准备好固定地址进行秒杀。这种方式的缺点是有可能能提前获取到秒杀接口地址,这种时候可以再进行一次验证码的防护。如果没有验证码的话,一秒内可能有很多请求,加上验证码可以延迟请求的时间,服务器承受的压力就没有那么大。为了减少并发量,还可以进行一次接口的限流。 一、秒杀接口地址隐藏 针对不同用户秒杀不同商品,设计秒杀接口地址不同。 1.1 控制层修改 /** * 秒杀 *
gulimall——秒杀安全优化
qq_38246328的博客
05-04 260
1.优化思路 (1)秒杀接口地址隐藏。防止有人恶意秒杀 (2)数学公式验证码。也能防止恶意秒杀。并且能够减轻秒杀系统的瞬时流量,减轻并发量。 (3)接口限流防刷。限制一个用户1分钟之内只能访问某个接口10次。 2.秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。) 实现思路: 在进行秒杀之前,去后端获取一个动态的秒杀地址path(服务
Java秒杀系统方案优化 3--第3章 秒杀功能开发及管理后台
chenzj
09-11 483
第3章 秒杀功能开发及管理后台 3-1 商品列表页 3-2 商品详情页上 3-3 商品详情页下 这个小模块感觉没啥好说的,都是简单的查询功能,这里就跳过 3-4 秒杀功能实现 这小节也是简单的增加数据的功能,具体代码如下: @RequestMapping("/do_miaosha") public String list(Model model,Miaosha...
简易秒杀系统-优化(详细注释)
SIESTA030的博客
02-18 1234
简易秒杀系统的优化过程(入门级),用到了缓存,消息中间件等技术
Tomcat 优化方案
cuker919的专栏
11-28 98
JDK中的jmap,jstat,jconsole,jvisualvm工具,或者是jmapdump分析工具MAT 先从HotSpot的调优开始,看一下垃圾回收状态: jstat-gccause&lt;PID&gt;1s1000 &lt;PID&gt;是你tomcat启动后的进程号;1s表示每秒显示一条数据,1000表示一共执行1000次 jmap-heap&lt;PID&gt;查看当前JV...
Java秒杀系统优化的工程要点
全菜工程师小辉的博客
06-11 8010
这篇博客是笔者学习慕课网若鱼老师的《Java秒杀系统方案优化 高性能高并发实战》课程的学习笔记。若鱼老师授课循循善诱,讲解由浅入深,欢迎大家支持。 本文记录课程中的注意点,方便以后code review。此外,本文将注意点相关的优质讲解链接在了一起,方便初学者系统学习。 本文并非单纯介绍秒杀系统特有的技术点,不适合高手。进阶学习的话,极客时间有个不错的小专栏——如何设计一个秒杀系统,阿里高级技术...
Java秒杀系统方案优化
chenzj
09-11 937
Java秒杀系统方案优化 本文是观看慕课网的Java秒杀系统方案优化视频而写的,也是本人第一次写观看视频后写的博客,第一次写,轻喷~~~~ (PS视频内容并不是最新的) 项目开发环境与框架搭建 1-1 课程导学 1-1 项目环境搭建(eclipse) 1-2 项目环境搭建(idea) 1-3 集成mybatis 1-4 linux下源码安装r...
Tomcat优化方案
main_bo的专栏
01-07 160
Tomcat优化方案 调优方案分类: 1,外部环境调优 2,自身调优 1, 外部环境调优: 1. JAVA虚拟机性能优化 i. Tomcat需要依赖Java虚拟机运行,虚拟机可通过命...
安全优化---接口限流防刷
weixin_38035852的博客
07-24 4949
接口限流防刷: 限制同一个用户在限定时间内,只能访问固定次数。 思路:每次点击之后,在缓存中生成一个计数器,第一次将这个计数器置1后存入缓存,并给其设定有效期。 每次点击后,取出这个值,计数器加一,如果超过限定次数,就抛出业务异常。 String limitURL =request.getRequestURI();//url 是Stringbuffer URI St...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值