实现控制器访问次数限制实例

最新推荐文章于 2024-05-14 22:45:00 发布
最新推荐文章于 2024-05-14 22:45:00 发布
阅读量459 收藏
点赞数
分类专栏: # java 文章标签: java
原文链接:jb51.net/article/110986.htm
版权

比如某个Controller某秒只能访问100s

在Web中最经常发生的就是利用恶性URL访问刷爆服务器之类的攻击,今天我就给大家介绍一下如何利用自定义注解实现这类攻击的防御操作。

其实这类问题一般的解决思路就是:在控制器中加入自定义注解实现访问次数限制的功能。

具体的实现过程看下面的例子:

步骤一:先定义一个注解类,下面看代码事例:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

package example.controller.limit;

import org.springframework.core.Ordered;

import org.springframework.core.annotation.Order;

import java.lang.annotation.*;

@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.METHOD)

@Documented

//最高优先级

@Order(Ordered.HIGHEST_PRECEDENCE)

public @interface RequestLimit {

  /**

   *

   * 允许访问的次数,默认值MAX_VALUE

   */

  int count() default Integer.MAX_VALUE;

  

  /**

   *

   * 时间段,单位为毫秒,默认值一分钟

   */

  long time() default 60000;

}

步骤二:定义一个异常类,用来处理URL攻击时产生的异常问题,下面看代码事例:

1

2

3

4

5

6

7

8

9

10

11

12

13

package example.controller.exception;

public class RequestLimitException extends Exception {

  private static final long serialVersionUID = 1364225358754654702L;

  

  public RequestLimitException() {

    super("HTTP请求超出设定的限制");

  }

  

  public RequestLimitException(String message) {

    super(message);

  }

  

}

步骤三:定义一个注解的具体实现类,下面看代码事例:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

package example.controller.limit;

import example.controller.exception.RequestLimitException;

import org.aspectj.lang.JoinPoint;

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Before;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;

import java.util.HashMap;

import java.util.Map;

import java.util.Timer;

import java.util.TimerTask;

import java.util.concurrent.TimeUnit;

  

@Aspect

@Component

public class RequestLimitContract {

  private static final Logger logger = LoggerFactory.getLogger("RequestLimitLogger");

  private Map<String, Integer> redisTemplate=new HashMap<String,Integer>();

  @Before("within(@org.springframework.stereotype.Controller *) && @annotation(limit)")

  public void requestLimit(final JoinPoint joinPoint, RequestLimit limit) throws RequestLimitException {

    try {

      Object[] args = joinPoint.getArgs();

      HttpServletRequest request = null;

      for (int i = 0; i < args.length; i++) {

        if (args[i] instanceof HttpServletRequest) {

          request = (HttpServletRequest) args[i];

          break;

        }

      }

      if (request == null) {

        throw new RequestLimitException("方法中缺失HttpServletRequest参数");

      }

      String ip = request.getLocalAddr();

      String url = request.getRequestURL().toString();

      String key = "req_limit_".concat(url).concat(ip);

      if(redisTemplate.get(key)==null || redisTemplate.get(key)==0){

        redisTemplate.put(key,1);

      }else{

        redisTemplate.put(key,redisTemplate.get(key)+1);

      }

      int count = redisTemplate.get(key);

      if (count > 0) {

        Timer timer= new Timer();

        TimerTask task = new TimerTask(){  //创建一个新的计时器任务。

          @Override

          public void run() {

            redisTemplate.remove(key);

          }

        };

        timer.schedule(task, limit.time());

        //安排在指定延迟后执行指定的任务。task : 所要安排的任务。10000 : 执行任务前的延迟时间,单位是毫秒。

      }

      if (count > limit.count()) {

        //logger.info("用户IP[" + ip + "]访问地址[" + url + "]超过了限定的次数[" + limit.count() + "]");

        throw new RequestLimitException();

      }

    } catch (RequestLimitException e) {

      throw e;

    } catch (Exception e) {

      logger.error("发生异常: ", e);

    }

  }

}

步骤四:实现一个控制类,并添加使用注解功能。下面看代码事例:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

package example.controller;

import example.controller.limit.RequestLimit;

import org.springframework.stereotype.Controller;

import org.springframework.ui.ModelMap;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;

@Controller

public class URLController {

  @RequestLimit(count=10,time=5000)

  @RequestMapping("/urltest")

  @ResponseBody

  public String test(HttpServletRequest request, ModelMap modelMap) {

    return "aaa";

  }

}

 其中count指的是规定时间内的访问次数,time指的就是规定时间,单位为毫秒。

这样就实现了在控制器这个层次上面的url拦截了。不过这里有个问题,就是如果想在每一个URL页面上面都进行这样的拦截,这种方法明显是不够的。因为我们不可能在每个控制器上面都加上url拦截的注解,所以这种方法只适合在某些特定的URL拦截上面使用它们。

那如何实现过滤器级别上面的URL访问拦截呢?

ZUUL

千百元
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot中自定义注解实现控制器访问次数限制实例
08-30
总结来说,通过自定义`RequestLimit`注解、异常类`RequestLimitException`以及切面类`RequestLimitContract`,我们可以有效地在SpringBoot中实现控制器访问次数限制,以增强应用程序的安全性和性能。这种方法具有...
java中利用aop打印controller接口请求日志
bananachong的博客
10-13 1082
话不多说直接上代码 import com.exam.util.CommonUtil; import lombok.extern.slf4j.Slf4j; import org.aspectj.lang.JoinPoint; import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Before; import org.aspectj.lang.annotation.Pointcut; import org.
Spring Filter过滤器,Spring拦截未登录用户权限限制
每一次对问题的深究,总会收获新的知识和体会
03-17 1120
转载自:http://pouyang.iteye.com/blog/695429 实现的功能:判断用户是否已登录,未登录用户禁止访问任何页面或action,自动跳转到登录页面。  比较好的做法是不管什么人都不能直接访问jsp页面,要访问就通过action,这样就变成了一个实实在在的权限控制了。  那么就有3种方法可以解决楼主的问题  1,直接使用filter  2,直接使用web
根据ip限制接口访问次数
最新发布
是我的温柔啊
05-14 409
我们利用redis去实现这个功能,redis的天然高并发和内存单线程速度拉满,非常适合做这个场景。为了可用性,我们把它封装成注解形式,哪个接口想被根据ip限制接口访问次数,直接标注上注解即可。
spring aop实现权限控制,路径控制
kukuqiu001的专栏
02-18 554
spring aop 的权限的管理是通过对路径的控制来实现的 现在共有两个角色,经理和员工 经理的权限检查的代码 MgrAuthorityInterceptor.java [code="java"] public class MgrAuthorityInterceptor implements MethodInterceptor { public Object invok...
SpringBoot 上传文件记录日志报错:It is illegal to call this method if the current request is not in asynchronou
子冰吖的博客
05-05 6844
springboot 上传文件记录日志是报错It is illegal to call this method if the current request is not in asynchronous mode (i.e. isAsyncStarted() returns false) 原因,因为Object[] args = joinPoint.getArgs();会得到多余的ServletR...
处理重复请求controller的方法
linj努力,奋斗
12-15 3303
简单 -> 复杂 1.页面重复点击请求。解决办法:用户点击一次后,js执行remove该元素的onclick属性。 2.页面超链接错误引起的重复请求。解决办法:使用debug模式查找到执行的js,找出错误的链接即可。 3.浏览器等内置重复请求。浏览器请求时,如果服务器长时间未返回,则可能会自动重复请求,从而造成多次发送requst,重复执行一个controller方法。 主
mvc控制ip访问次数的demo
08-22
“mvc控制ip访问次数的demo”指的是一个使用MVC(Model-View-Controller)架构设计模式的示例项目,该项目的主要功能是实现对IP地址的访问次数进行控制。它旨在限制同一IP地址在指定的时间段内访问特定网页的频率,...
C++ 实现线程安全的频率限制器(推荐)
08-19
通过添加`std::mutex`和使用`std::lock_guard`,我们在访问共享数据时确保了互斥,从而实现了线程安全的频率限制器。 此外,为了防止对象复制,我们通常会禁用`RateLimiter`的复制构造函数和赋值运算符,以防止意外...
AngularJS过滤器filter用法实例分析
10-21
如果过滤器操作的数据集很大,应考虑使用`$filter`服务在控制器中预先处理数据,然后只在视图中显示处理后的结果,以减少DOM更新的次数。 总之,AngularJS过滤器提供了一种优雅的方式来处理和格式化数据,无论是...
springboot记录api的访问次数
03-12
- 为了只保存最近一分钟的访问次数,可以在拦截器中添加逻辑,检查每个API的访问时间戳。如果超过一分钟,则从存储中移除。 - 如果使用数据库,可以通过定时任务或Quartz Scheduler定期清理过期的记录。 - 如果...
缓存与站点配置
qq_41170489的博客
12-07 258
Django-cache缓存 概述: 对于中等流量的网站来说,尽可能减少开销是必要的,缓存数据就是为了保存哪些需要很多计算资源的结果,这样就不必在下次请求消耗计算机资源 Django自带一个非常健壮的缓存功能 (1)缓存配置 settings.py 配置缓存在数据库中 CACHES={ 'default':{ #缓存位置 'BACKEND':'django.core.cache.backen...
C# 站点IP访问频率限制 针对单个站点
weixin_30808693的博客
04-27 143
0x00 前言   写网站的时候,或多或少会遇到,登录,注册等操作,有时候,为了防止别人批量进行操作,不得不做出一些限制IP的操作(当前也可以用于限制某个账号的密码校验等)。 这样的简单限制,我们又不想对数据进行存库(显得过于浪费资源了)。所以就诞生了0x01中提到的,简单IP限制类。 0x01 正文   理论说多了,终究是理论,分享一下代码 1 /// <summary&...
ASP.NET MVC5(热访问控制) 控制同一用户IP一段时间内对控制器访问次数
Denny辉的博客
07-09 1178
有时候,当用户请求一个Controller下的Action,我们希望,在单位时间间隔内,比如每秒,每分钟,每小时,每天,每星期,限制同一个IP地址对某个Action的请求次数。如何做呢? stefanprodan的MvcThrottle能很好地解决这个问题,以及其它类型的IP限制问题。在这里:https://github.com/stefanprodan/MvcThrottle 把项目从GitH...
C# IP地址访问控制
云计算?
10-30 526
string ipLimit = "192.168.152.x,192.168.153.x,192.168.154.x,192.168.155.x,192.168.156.x,192.168.157.x,192.168.158.x,192.168.159.x,192.168.x.x"; string[] arrSeperators = { "," ...
防止同一IP同一时间段内多次访问
Us006124的博客
08-25 5451
设定时间段内同一IP的访问次数限制: 主要使用httpservlet和timer task来记录并且运行定时(时间段比如60s)访问次数(比如最大为10),然后超出则抛出异常。 同一IP的操作次数限制: 主要用数据库(ip,时间计算,操作次数,备注信息),来实现限制,超出则抛出异常。 在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流。 缓存 缓存的目的是提升系统访问速度和增大系统处理容量 降级 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解决后再打开限流限流的目的是通过
在多线程并发请求Api的场景中,如何控制每个线程的qps
weixin_34160277的博客
06-29 699
想了一段时间,给出代码Demo #include <stdio.h> #include <stdlib.h> #include <pthread.h> typedef struct qps_s{ int count; unsigned int second; }qps_t; pthread_key_t ...
04.手写服务限流算法: 令牌桶、漏桶、滑动窗口算法
陌陌龙的博客
06-21 1525
04.手写服务限流算法: 令牌桶、漏桶、滑动窗口算法
Linux命令行网络与文件传输实例详解
通过实例演示,学习者可以了解到如何使用wget下载网页内容(如Google首页),限制重试次数(如最多尝试5次下载Apache的图片),以及实现断点续传功能(当下载中断时,继续从上次停止的地方继续)。例如,命令`wget ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值