SpringBoot使用注解 拦截器 redis实现接口防刷

已于 2024-03-09 06:46:36 修改
阅读量245 收藏
点赞数
文章标签: spring boot redis java
于 2023-04-18 14:45:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlesyoosky/article/details/130221538
版权

当我们实际项目经常出现接口恶意被刷的问题,让我们很头疼,我们可以使用ip黑名单等当时拦截恶意刷接口,也可以使用工具包guava的限流RateLimiter进行接口限流,当然我们也可以自己造轮子。
接下来我们使用注解 、拦截器 、redis实现接口进行接口防刷,废话不多说,直接上代码

防刷注解AccessLimit,直接作用在方法和类上


/**
 * @Author charles.yao
 * @Description 接口防刷注解
 * @Date 2023/4/18 14:08
 */
@Retention(RUNTIME)
@Target({METHOD, TYPE})
public @interface AccessLimit {

    /**
     * 秒
     * @return 多少秒内
     */
    long second() default 5L;

    /**
     * 最大访问次数
     * @return 最大访问次数
     */
    long maxTime() default 3L;

    /**
     * 禁用时长,单位/秒
     * @return 禁用时长
     */
    long forbiddenTime() default 120L;
}

防刷拦截器AccessLimintInterceptor


/**
 * @Author charles.yao
 * @Description 接口防刷拦截器
 * @Date 2023/4/18 14:08
 */
@Slf4j
public class AccessLimintInterceptor implements HandlerInterceptor {
    @Resource
    private RedisTemplate<String, Object> redisTemplate;
    /**
     * 锁住时的key前缀
     */
    public static final String LOCK_PREFIX = "LOCK";

    /**
     * 统计次数时的key前缀
     */
    public static final String COUNT_PREFIX = "COUNT";

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {


//      自定义注解 + 反射 实现, 版本 2.0
        if (handler instanceof HandlerMethod) {
            // 访问的是接口方法,转化为待访问的目标方法对象
            HandlerMethod targetMethod = (HandlerMethod) handler;
            // 获取目标接口方法所在类的注解@AccessLimit
            AccessLimit targetClassAnnotation = targetMethod.getMethod().getDeclaringClass().getAnnotation(AccessLimit.class);
            // 特别注意不能采用下面这条语句来获取,因为 Spring 采用的代理方式来代理目标方法
            //  也就是说targetMethod.getClass()获得是class org.springframework.web.method.HandlerMethod ,而不知我们真正想要的 Controller
//            AccessLimit targetClassAnnotation = targetMethod.getClass().getAnnotation(AccessLimit.class);
            // 定义标记位,标记此类是否加了@AccessLimit注解
            boolean isBrushForAllInterface = false;
            String ip = request.getRemoteAddr();
            String uri = request.getRequestURI();
            long second = 0L;
            long maxTime = 0L;
            long forbiddenTime = 0L;
            if (!Objects.isNull(targetClassAnnotation)) {
                log.info("目标接口方法所在类上有@AccessLimit注解");
                isBrushForAllInterface = true;
                second = targetClassAnnotation.second();
                maxTime = targetClassAnnotation.maxTime();
                forbiddenTime = targetClassAnnotation.forbiddenTime();
            }
            // 取出目标方法中的 AccessLimit 注解
            AccessLimit accessLimit = targetMethod.getMethodAnnotation(AccessLimit.class);
            // 判断此方法接口是否要进行防刷处理
            if (!Objects.isNull(accessLimit)) {
                // 需要进行防刷处理,接下来是处理逻辑
                second = accessLimit.second();
                maxTime = accessLimit.maxTime();
                forbiddenTime = accessLimit.forbiddenTime();
                if (isForbindden(second, maxTime, forbiddenTime, ip, uri)) {
                    throw new CommonException(ResultCode.ACCESS_FREQUENT);
                }
            } else {
                // 目标接口方法处无@AccessLimit注解,但还要看看其类上是否加了(类上有加,代表针对此类下所有接口方法都要进行防刷处理)
                if (isBrushForAllInterface && isForbindden(second, maxTime, forbiddenTime, ip, uri)) {
                    throw new CommonException(ResultCode.ACCESS_FREQUENT);
                }
            }
        }
        return true;
    }

    /**
     * 判断某用户访问某接口是否已经被禁用/是否需要禁用
     *
     * @param second        多长时间  单位/秒
     * @param maxTime       最大访问次数
     * @param forbiddenTime 禁用时长 单位/秒
     * @param ip            访问者ip地址
     * @param uri           访问的uri
     * @return ture为需要禁用
     */
    private boolean isForbindden(long second, long maxTime, long forbiddenTime, String ip, String uri) {
        String lockKey = LOCK_PREFIX + ip + uri; //如果此ip访问此uri被禁用时的存在Redis中的 key
        Object isLock = redisTemplate.opsForValue().get(lockKey);
        // 判断此ip用户访问此接口是否已经被禁用
        if (Objects.isNull(isLock)) {
            // 还未被禁用
            String countKey = COUNT_PREFIX + ip + uri;
            Object count = redisTemplate.opsForValue().get(countKey);
            if (Objects.isNull(count)) {
                // 首次访问

                log.info("首次访问");
                redisTemplate.opsForValue().set(countKey, 1, second, TimeUnit.SECONDS);
            } else {
                // 此用户前一点时间就访问过该接口,且频率没超过设置
                if ((Integer) count < maxTime) {
                    redisTemplate.opsForValue().increment(countKey);
                } else {
                    log.info("{}禁用访问{}", ip, uri);
                    // 禁用
                    redisTemplate.opsForValue().set(lockKey, 1, forbiddenTime, TimeUnit.SECONDS);
                    // 删除统计--已经禁用了就没必要存在了
                    redisTemplate.delete(countKey);
                    return true;
                }
            }
        } else {
            // 此用户访问此接口已被禁用
            return true;
        }
        return false;
    }
}

测试类

/**
 * @Author charles.yao
 * @Description 测试类
 * @Date 2023/4/18 14:35
 */
@RestController
@RequestMapping("/pass")
public class TestRest {
    @GetMapping("/get")
//    表示此接口 3 秒内最大访问次数为 2,禁用时长为 40 秒
    @AccessLimit(second = 3, maxTime = 2, forbiddenTime = 40L)
    public Result get() {
        log.info("执行【pass】-get()方法");
        return Result.SUCCESS();
    }
}

简单用postman测试一下,功能完全没有问题

程序猿微刊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
RedisSpringBoot互联网实战③
10-28
 
手写基于AOP限流的注解,防止恶意刷接口
感谢关注点赞,笔芯啾咪!
05-21 480
先上代码,使用自定义 @AccessLimit(seconds = 30,maxCount = 10)注解可以实现30秒内被注解的方法只能被访问10次,30秒后又重置次数。 @RequestMapping("/redis") @AccessLimit(seconds = 30,maxCount = 10) @Cacheable(cacheNames = "user", key = "#a+''+#b", unless = "#a==null || # b==null")
@AccessLimit接口限流
qq_56769991的博客
04-01 2224
当我们需要对后端的某些接口进行限流(其实防止一些请求在一定时间内进行多次访问,比如防止用户1秒内多次进行评论、防止多次重复登录等操作,这时我们就需要对该接口进行限流) 当然限流操作还有一些场景: 秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。 总的就是说防止同一用户对单个接口进行重复调用,这里我们
自定义 AccessLimit 注解实现 Spring Boot 接口防刷
Sanchar
09-12 1921
技术要点:Spring Boot的基本知识 首先是写一个注解类: import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHO
springboot中application.properties文件redis的配置
吴成伟的博客
10-26 9394
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连...
springboot项目实训源代码+mybatis+redis+maven+拦截器控制权限
02-24
2、拦截器实现权限控制:菜单管理,权限管理(按钮及用户级别权限) 3、SpringBoot框架,注解使用 4、图片上传技术 5、籍贯管理:新增,修改,删除,查询,分页 6、员工管理:新增,修改,删除,查询,分页,...
基于SpringBoot+Mybatis+Redis开发的一个问答社区源码+sql数据库(仿牛客网).zip
06-02
使用 ThreadLocal 保存用户状态,通过拦截器拦截请求,根据自定义注解判断用户登录状态 使用 Ajax 异步发帖、发送私信、评论 使用 Redis 实现点赞、关注功能,优化登录模块——存储登录凭证、缓存用户信息 【备注】 ...
SpringBootConformity:SpringBoot + Mybatis + Redis +任务
04-30
不管多少个错误都以map形式返回502:拦截器拦截到用户token出错555:异常抛出信息(2)pojo对属性得jackson相关注解@JsonIgnore json数据中不显示该属性@JsonFormat(pattern="yyyy-MM-dd hh:mm:ss a",locale="zh",time...
Imitation_community:仿牛客社区网站,主要使用技术 SpringBootRedis、Kafka、MySql
05-26
Imitation_community类贴吧社交网站主要功能:使用 ThreadLocal 保存用户状态,通过拦截器拦截请求,根据自定义注解判断用户登录状态。使用 Ajax 异步发帖、发送私信、评论,通过字典树过滤敏感词。使用 Redis 实现...
Springbootspringboot和一些主流框架的整合的各个基本demo
02-05
有用能不能给个Star呀兄Dei,有用能不能给个Star呀项目目录介绍最简单的版本 web版本的是给项目添加日志管理这个是mybatis的配置版这是mybatis的注解版这是springboot发邮件 springboot使用redis数据库 ...
JPA注解@Access实例
03-09
JPA注解@Access实例 test-jpa
springboot spring aop 拦截器注解方式实现脱敏
02-13
springboot spring aop 拦截器 注解方式实现脱敏(涉及到:pom.xml -->application.properties --->启动类-->拦截器
SpringBoot+Redis使用注解方式拦截恶意访问
一个肥鲇鱼博客
08-26 491
针对有人恶意频繁访问接口,对服务器造成巨大压力使用自定义注解方式进行拦截SpringBoot + Redis方式进行处理拦截请求防止存Redis的时候key或value乱码@EnableCaching //开启缓存@Configuration //配置类@Bean// key采用String的序列化方式// hash的key也采用String的序列化方式// value序列化方式采用jackson// hash的value序列化方式采用jackson}}......
SpringBoot整合redis踩过的坑,是真的坑
qq_43712538的博客
06-06 483
学习了一下午redis,我表示很坑,有一个很坑很坑的细节问题。 想¥……&¥%*%¥%……¥%……#……%¥骂娘的那种!!!! 算了。消消火记录下来,防止以后再犯@! @%……#¥¥……%#%%&……&……&()&()&*!@#¥%…… (舒坦了~~~~) 首先yml配置是没有问题的, 启动类配置没问题(关启动类毛事儿?哦 的确不关) 查了网上很多说@Resource和@Autowired 对于bean注入的问题。很显然我试了不是。 即将耗尽我最后的耐心,于
Spring Boot 实战指南(五):自定义注解拦截器
TracyCoder的博客
07-04 1983
自定义注解Java语言提供的一种元编程(metaprogramming)机制,它允许开发者在代码中添加自己的元数据(metadata),以便在程序运行时进行解析和处理。通过注解我们可以免去繁琐的配置过程,简化开发流程,可以解决很多实际开发过程中的痛点、难点,让我们可以提出更多更合理的非侵入式解决方案。以下是一些使用自定义注解的原因和好处:提供额外的元数据:自定义注解可以通过在源代码中添加额外的元数据,用于描述类、方法、字段等程序元素的特性和属性。
springBoot2.0-通过注解实现拦截器
燕少江湖
07-12 8224
一、目的 在web项目中,定义拦截器就是为了防止用户没有登录而可以访问app、网页等,常用的方式就是拦截所有请求,从session中获取用户实例对象,判断是否为空。这种拦截,完全可以通过token和注解实现拦截,在调用action之前,判断是否登录,这种方式更加灵活多变。 二、注解小案例 1、需求: 定义了一个Persion类,四个属性:分别是姓名、年龄、电话号码、性别,分别对应四个get......
SpringBoot之自定义拦截器
AllureSoul的博客
03-21 957
SpringBoot之自定义拦截器
拦截器使用redisTemplate获取数据报空指针
qq_48445961的博客
05-06 2454
​ 今天做了个小项目,使用自定义一个拦截器使用redisTemplate获取redis缓存数据一直报null空指针。 ​ 随后使用了debug模式查找问题,发现token值获取到了,且redis中存在该缓存,但获取的还是null。 ​ 查看了代码发现没有什么问题: //如果未登陆 直接访问某个地址时 public class AuthcFilter extends FormAuthenticationFilter { @Autowired private RedisTempl
SpringBoot + Redis 实现防刷限流
旷野历程
04-17 233
添加自定义AccessLimit注解使用注解方式实现接口的限流操作。使用 AccessLimit
springboot怎么使用过滤器拦截token
最新发布
08-27
### 回答1: 可以通过实现 Filter 接口来创建一个过滤器,然后在 Spring Boot使用 @Bean 注解将其注册到应用程序中。在过滤器中,可以通过 HttpServletRequest 对象获取请求头中的 token,然后进行验证或者其他操作。具体实现可以参考 Spring Boot 官方文档或者相关教程。 ### 回答2: 在使用Spring Boot中,可以通过创建一个过滤器来拦截token。下面是一个简单的示例,说明如何实现。 首先,需要创建一个自定义的过滤器类,实现javax.servlet.Filter接口。在实现过滤器时,我们可以在doFilter方法中进行token验证的逻辑处理。以下是示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class TokenFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 将请求和响应对象转换成HttpServletRequest和HttpServletResponse对象 HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 从请求头中获取token String token = httpRequest.getHeader("Authorization"); // 进行token验证的逻辑处理,例如验证token是否过期、是否有效等 // ... // 如果验证通过,将请求继续传递给下一个过滤器或目标资源处理 chain.doFilter(request, response); } // 其他方法,例如init和destroy方法,可以留空不做处理 } ``` 接下来,需要将自定义的过滤器添加到Spring Boot应用程序中。可以使用@Configuration注解将过滤器添加为一个Bean,并使用@Order注解指定过滤器的执行顺序。例如: ```java import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.core.Ordered; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<TokenFilter> tokenFilter() { FilterRegistrationBean<TokenFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new TokenFilter()); // 设置过滤器的URL映射规则,例如/*表示拦截所有请求 registrationBean.addUrlPatterns("/*"); // 设置过滤器的执行顺序 registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); return registrationBean; } } ``` 最后,重新启动Spring Boot应用程序,自定义的过滤器就会拦截所有请求,并对token进行验证处理。 请注意,上述示例只是一个简单的演示,实际应用中可能需要根据具体的需求进行修改和扩展。例如,可以从数据库或缓存中获取token,进行更加复杂的验证逻辑,并在验证失败时返回相应的错误信息。 ### 回答3: 使用Spring Boot实现过滤器拦截Token的步骤如下: 1. 创建一个自定义的过滤器类,实现javax.servlet.Filter接口,并重写doFilter方法。在doFilter方法中,可以通过HttpServletRequest对象获取请求头中的Token信息,并进行相应的验证或处理。 2. 在Spring Boot应用的启动类中,通过添加注解@EnableWebSecurity开启Web安全配置,并通过继承WebSecurityConfigurerAdapter类重写configure方法。 3. 在configure方法中,使用http对象的addFilterBefore方法将自定义的过滤器添加到过滤器链中,指定过滤器在哪个过滤器之前进行拦截。 4. 在过滤器中,可以进行Token的验证和处理逻辑。例如,可以使用JWT来生成和验证Token,或将Token存储在Redis中,根据请求的Token进行校验等。 5. 如果Token验证不通过,可以返回相应的错误信息或重定向到登录页面。如果验证通过,可以进行其他的业务逻辑处理。 总之,通过自定义过滤器并将其添加到Spring Boot的过滤器链中,可以在请求到达Controller之前进行Token的验证和拦截操作,以实现对请求的安全控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值