本文介绍了如何在基于 Spring Boot 的应用中实现反爬虫和接口防盗刷。通过引入 kk-anti-reptile 库,利用 Filter 过滤请求,结合 ip-rule 和 ua-rule 实现请求频率限制与 User-Agent 检查。当请求触发规则后,系统会返回验证码,只有正确输入验证码才能继续访问。后端只需简单配置即可接入,前端需要处理 509 状态码并显示验证码。
系统要求
- 基于 spring-boot 开发(spring-boot1.x, spring-boot2.x均可)
- 需要使用 redis
工作流程
kk-anti-reptile 使用基于 Servlet 规范的的 Filter 对请求进行过滤,在其内部通过 spring-boot 的扩展点机制,实例化一个 Filter,并注入到 Spring 容器 FilterRegistrationBean 中,通过 Spring 注入到 Servlet 容器中,从而实现对请求的过滤。在 kk-anti-reptile 的过滤 Filter 内部,又通过责任链模式,将各种不同的过滤规则织入,并提供抽象接口,可由调用方进行规则扩展。Filter 调用则链进行请求过滤,如过滤不通过,则拦截请求,返回状态码 509,并输出验证码输入页面,输出验证码正确后,调用过滤规则链对规则进行重置。目前规则链中有如下两个规则
ip-rule
ip-rule 通过时间窗口统计当前时间窗口内请求数,小于规定的最大请求数则可通过,否则不通过。时间窗口、最大请求数、ip 白名单等均可配置。
ua-rule
ua-rule 通过判断请求携带的 User-Agent,得到操作系统、设备信息、浏览器信息等,可配置各种维度对请求进行过滤。
命中规则后
命中爬虫和防盗刷规则后,会阻断请求,并生成接除阻断的验证码,验证码有多种组合方式,如果客户端可以正确输入验证码,则可以继续访问
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
