限制接口访问频率(拉黑用户)

最新推荐文章于 2024-03-25 14:49:14 发布
最新推荐文章于 2024-03-25 14:49:14 发布
阅读量1k 收藏 1
点赞数
分类专栏: Java 文章标签: spring cloud java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61343669/article/details/128644626
版权

文章目录

前言

在日常开发当中,遇到其他恶意攻击,恶意调用我们公共开放的接口,例如: 恶意调用短信接口,数以万计的请求,打到我们的公共短信服务,占用系统资源,其他用户无法完成其他业务操作。最终导致系统崩溃。

前些天提供了阿里的Canal组件的使用,今天就配合Canal组件,完成自定义请求拦截

一、解决方案

1:拦截器的原理

1:preHandle:在执行Handler之前(执行业务逻辑之前),根据拦截器链顺序执行;

2:postHandle:在执行Handler成功(执行业务逻辑成功)之后,根据拦截器链倒序执行,如果前面的流程中抛出异常或者请求被拦截则不会执行!

3:afterCompletion:在请求处理完毕之后执行,无论是否有响应视图,无论有没有通过preHandle,无论有没有抛出异常。只会对此前放行成功(preHandle返回true)的拦截器进行倒序调用

本质也就是一种AOP思想的实现,源码分析(后续)

2:自定义拦截注解

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE ,ElementType.METHOD})
@Inherited // 增强继承性
@Documented  
@Order(Ordered.HIGHEST_PRECEDENCE) // 设置优先级
public @interface RequestIntercept {

    /* 次数*/
    int count() default Integer.MAX_VALUE;

    /* 默认时间: 1分钟*/
    long time() default 60000;
}

二、使用步骤

1:自定义拦截器

@Component
@Slf4j
public class RequestLimitInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisTemplate<Object ,Object> redisTemplate;
    @Autowired
    private SystemFeignService systemFeignService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, java.lang.Object handler) throws Exception {
        HandlerMethod method = (HandlerMethod) handler;
        RequestIntercept methodAnnotation = method.getMethodAnnotation(RequestIntercept.class);
        RequestIntercept classAnnotation = method.getBean().getClass().getAnnotation(RequestIntercept.class);
        request.setCharacterEncoding("UTF-8");
        String[] split = request.getRequestURI().split("/");
        String phone = split[split.length - 1];
        if (methodAnnotation != null){
            log.info("方法注解限制频率");
            String ip = RequestUtil.getIP(request);
            String url = request.getRequestURL().toString();
            String key = "intercept_".concat(url).concat(ip);
            Long count = redisTemplate.opsForValue().increment(key, 1);
            int maxSize = methodAnnotation.count();
            long timeOut = methodAnnotation.time();
            if (count == 1 ){
                redisTemplate.expire(key, timeOut, TimeUnit.MILLISECONDS);
                return true;
            }
            if (count > maxSize ) {
                // OpenFeign拉黑
                systemFeignService.sava(Blacklist.builder()
                        .ip(ip).name(phone).phone(phone).createdTime(new Date()).status(1).build());
                log.info(" 当前访问次数: " + count + ",已经成功限制!");
                 return  false;
            }
        } else if (classAnnotation != null){
            log.info("类注解限制频率");
            return false;
        }else {
            return true;
        }
        return true;
    }

}

没来得急优化代码,将就看吧。大致的逻辑就是:将我们的自定义注解使用在Controller的相应方法上。当我们请求就会就进入拦截器,判断当前请求是否是小于规定次数,小于就放行,大于就拦截,并使用canal同步信息到Redis,进行拉黑用户禁止后续操作(建议拉黑IP地址)

2:配置拦截器

在MVC项目中需要这样配置

在SpringBoot项目中,交给容器使用。

@Configuration
public class ResourcesConfig implements WebMvcConfigurer{
    @Autowired
    private RequestLimitInterceptor repeatSubmitInterceptor;

    /**
     * 自定义拦截规则
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry)
    {
        registry.addInterceptor(repeatSubmitInterceptor).addPathPatterns("/**");
    }

}

3:测试效果

第一次访问效果:

第二次访问效果:

数据库信息:

canal同步信息:

 RocketMQ的可视化工具,已经接受到消息对象。在项目中写一个消费监听器,自动同步Redis即可。当用户再次登录获取IP,或其他参数进行业务处理即可。

总结

以上就是今天要讲的内容,有任何问题欢迎留言

有头发的Java程序员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
接口调用次数限制,时间限制如何设计
weixin_39831786的博客
06-19 1万+
1,先看下一我的代码里边什么也没有,但是调用的话里边功能绝对不会少,并且还能规定调用次数和时间限制,例如5分钟之内只能调用几次等等. @RestController @RequestMapping("/photo") public class GoogleController { /** * actionGG方法用于抓取Google图片 * actionGG 方法名...
限制ip访问Oracle数据库的方法步骤
09-08
主要给大家介绍了关于限制ip访问Oracle数据库的方法步骤,文中通过示例代码介绍的非常详细,对大家的学习或者使用Oracle数据库具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot 项目使用 Redis 对用户 IP 进行接口限流
Java知音
07-12 418
一、思路使用接口限流的主要目的在于提高系统的稳定性,防止接口被恶意打击(短时间内大量请求)。比如要求某接口在1分钟内请求次数不超过1000次,那么应该如何设计代码呢?下面讲两种思路,如果想看代码可直接翻到后面的代码部分。1.1 固定时间段(旧思路)1.1.1 思路描述该方案的思路是:使用Redis记录固定时间段内某用户IP访问接口的次数,其中:Redis的key:用户IP + 接口方法名Redi...
SpringBoot三十:使用Guava的RateLimiter限制IP访问接口频率
​​
11-14 6219
pom文件引入以下依赖 <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>28.1-jre</version> </dependency> RateLimiter...
SpringBoot 接口访问频率限制(二)
最新发布
qq_40694890的博客
03-25 1901
Spring注解实现频率控制
根据用户ip地址限制其在一定时间内访问某些接口的次数
lqq3740的博客
09-18 2049
根据用户ip地址限制访问在一定时间内访问某些接口的次数,运营人员可以根据接口的描述设置该接口在指定的时间内可以访问的次数,超出访问次数提醒请求次数超限,通过在需要限定的接口上加注解来标识哪些方法需要被限制,且这些需要被限制的方法运营可以通过页面设置每一个方法在设定的时间内可被同一个用户ip地址),访问的次数。 CREATE TABLE `refresh_limit_bean` ( `id`...
php限制接口访问次数_easyswoole如何对ip限制访问频率
weixin_39787628的博客
12-06 362
在我们开发api的过程中,有的时候我们还需要考虑单个用户(ip)访问频率控制,避免被恶意调用。归根到底也就只有两个步骤: 用户访问要统计次数 执行操作逻辑之前要判断次数频率是否过高,过高则不执行easyswoole中实现Ip访问频率限制本文章举例的是在easyswoole框架中实现的代码,在swoole原生中实现方式是一样的。只要在对应的回调事件做判断拦截处理即可。使用swooleTable,储存...
Java接口访问限制次数(使用IP作为唯一标识)
weixin_49385823的博客
01-01 2674
Java接口访问限制次数(使用IP作为唯一标识或用户id)
如何通过限制 IP 相关信息 | 控制用户访问站点频率
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
02-12 3670
在常规的反爬手段中,IP 限制是应用广泛且比较有效的,但其存在一定的误杀,因同一 IP 下可能不止一位用户。本实验从 Nginx 限制特定 IP 的配置开始学习,然后扩展到限制 IP 访问频次,最后通过文本文件模拟了黑名单 IP限制爬虫 IP 这一技术点。
微服务如何限制接口调用次数
AP0906424的博客
03-05 6545
这种限制接口调用次数的方式,我们通常称之为限流,那么为什么要做限流呢,一般有两种原因: 1. 首先是防止服务提供方被大量的请求击垮 我们开发一个项目,最理想的状况是有多少请求,都可以正常地响应,但是在现在的互联网环境,我们很难评估用户的增长,很难评估访问量有多少,甚至有些时候会遇到恶意攻击;那么相比于项目被流量击垮,【限制流量,只满足部分访问的正常响应】要好一些。 简单说就是:满足所有请求 > 满足部分请求 > 项目被击垮,所有请求无法响应。 2. 计费 现在很多平台对外开..
java实现限制接口访问次数
f234344435的博客
06-24 8725
springboot项目下限制莫个接口在规定时间内的访问次数
Java通过aop实现限制同一ip请求接口的次数
_江屿_
05-31 1242
Java通过aop实现限制同一ip请求接口的次数
判断微信是否被好友拉黑
12-12
查看你的微信是否被他人拉黑的python代码,原理是调用web微信接口创建群,逐个拉好友入群,如果被拉黑则会提示失败,代码通过此规则判断是否被拉黑。该群只要你不发言,好友是看不到的,所以整个过程不会有人发现。
数据库访问接口-PPT课件.ppt
11-24
数据库访问接口-PPT课件.ppt
检测微信好友是否拉黑或删除你
02-08
我保证你惊呆了。我检测时,看着那些人的名字,回忆一幕幕袭来,可是他们就把我拉黑或者删了。
nginx限制IP恶意调用短信接口处理方法
09-30
主要介绍了nginx限制IP恶意调用短信接口处理方法,一种是nginx黑名单方式,另一种是限制IP请求数。需要的朋友可以参考下
redis通过ip限制接口访问次数(用注解形式实现)
java学习者
08-26 1075
近期开发中,短信接口被不明人士调用,注册的手机号码都无法打通,而且手机号码还不同,因短信平台对同一个手机号码做的有限制,所以公司这边需要做一个针对IP对短信进行限制。 1、先写一个自定义注解 @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface Limiter { ...
springboot相同IP限制接口访问次数(AOP事物)
weixin_46063418的博客
04-19 1195
文章转载自:https://blog.csdn.net/befroe_You/article/details/83748927 用于自己学习 应用场景:应项目需求,前后台分离,增强接口安全,限制相同IP访问接口的次数有限 解决:在项目中增加事物,在进接口方法前处理 思路: 1)@Before 在进入接口方法之前进入处理,within里面的书写表示写在控制器上方并且有对应注解的控制器会来到这里。 2)用获取的IP+对应url作为key,存到redis中,如果Redis存在这个key,然后时间处理器在超过设置时
springboot中application.properties文件redis的配置
吴成伟的博客
10-26 9429
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连...
用户注册黑盒测试接口测试用例设计
06-12
好的,针对用户注册的黑盒测试接口,以下是一些测试用例设计: 1. 测试用例名称:输入正确的用户名和密码,注册成功 测试步骤: - 输入合法的用户名和密码 - 点击注册按钮 - 检查是否成功跳转到登录页面 - 使用新注册的用户名和密码登录,检查是否可以成功登录 2. 测试用例名称:输入已存在的用户名,注册失败 测试步骤: - 输入已存在的用户名和一个合法的密码 - 点击注册按钮 - 检查是否出现错误提示,提示用户名已存在 3. 测试用例名称:输入过短的密码,注册失败 测试步骤: - 输入一个合法的用户名和一个过短的密码 - 点击注册按钮 - 检查是否出现错误提示,提示密码过短 4. 测试用例名称:输入非法的用户名,注册失败 测试步骤: - 输入一个非法的用户名,如包含特殊字符或长度超过限制 - 输入一个合法的密码 - 点击注册按钮 - 检查是否出现错误提示,提示用户名非法 5. 测试用例名称:输入非法的密码,注册失败 测试步骤: - 输入一个合法的用户名 - 输入一个非法的密码,如包含特殊字符或长度超过限制 - 点击注册按钮 - 检查是否出现错误提示,提示密码非法 6. 测试用例名称:不输入用户名和密码,注册失败 测试步骤: - 不输入用户名和密码 - 点击注册按钮 - 检查是否出现错误提示,提示用户名和密码不能为空 7. 测试用例名称:输入不同的密码和确认密码,注册失败 测试步骤: - 输入一个合法的用户名 - 输入两个不同的密码,一个作为密码,一个作为确认密码 - 点击注册按钮 - 检查是否出现错误提示,提示两次输入的密码不一致 以上是一些基本的测试用例设计,可以通过修改一些参数和操作来衍生更多的测试用例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有头发的Java程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值