后端业务防重的思考

已于 2023-07-20 17:14:03 修改
阅读量297 收藏
点赞数
文章标签: java 防重
于 2023-07-20 17:13:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oschina_40730821/article/details/131833976
版权

1.请求防重

同一请求路径下,短时间内出现相同参数的请求操作。某些重复变更请求如果编码不严谨会导致底层数据和逻辑出现错误。

相同参数的请求直接在最外层做 防重拦截。 

解决方案:

- 请求参数唯一标识,前端生成,后端拦截判断一定时间范围内重复拦截

- 重复请求后端拦截,后端解析请求参数,生成唯一码,拦截判断重复

2.业务防重

业务数据重复变更、重复插入,导致业务错误。

解决方案:

- 数据库唯一索引 (数据防重)

- 状态机进行防重(数据防重)

- 数据版本管理 、乐观锁。在变更操作时携带 数据版本号,版本号匹配时才能修改目标数据(数据防重)

- 加锁,同一时间资源访问限制 (逻辑防重)

项目实践:

请求防重和业务防重都需要做。请求防重可以做成通用逻辑or组件抽取出来。这里只介绍请求防重的一个具体实现。

整体大致逻辑 :

1、后端读取所有请求参数 

2、使用hash算法将请求参数和路径 hash后生成 请求唯一码

3、利用redis的 单线程执行命令的机制,使用 setNx 判断 是否存在 相同key,不存在就插入

实现碰到的问题

如何拦截目标请求?

因为项目使用 spring ,直接使用 扩展点  HandlerInterceptor  ,直接使用  preHandle 扩展点进行拦截判断 方法上是否标注 @RepeatRequest 注解。

注解

import org.springframework.core.annotation.AliasFor;

import java.lang.annotation.*;

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface RepeatRequest {

    @AliasFor("interval")
    long value() default 1000L;

    /**
     * 重复请求的判定间隔时间  不能 <= 0 ,否则失效
     */
    @AliasFor("value")
    long interval() default 1000L;

    /**
     * 判定 重复请求后的提示信息
     *
     * @return
     */
    String message() default "请勿重复提交,请稍后再试";
}

拦截器

public interface HandlerInterceptor {


    /**
    *  主要拦截逻辑
    * 
    **/
    default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        return true;
    }

    default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) throws Exception {
    }

    default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {
    }
}

具体列子



/**
 * @author: yu
 * @description: 防重拦截  短时间内 重复提交 重复请求
 * @create: 2023-07-18 16:02
 **/
public class RepeatSubmitInterceptor implements HandlerInterceptor {


    private RedisService redisService;

    static final String REPEAT_SUBMIT_KEY = "repeat_submit_key:%s_%s";

    private static final Logger logger = LoggerFactory.getLogger(RepeatSubmitInterceptor.class);

    public RepeatSubmitInterceptor(RedisService redisService) {
        this.redisService = redisService;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        RepeatRequest annotation = AnnotationUtils.getAnnotation(method, RepeatRequest.class);
        if (annotation == null) {
            return true;
        }

        long interval = annotation.interval();
        if (interval <= 0L) {
            return true;
        }
        String message = annotation.message();

        String controllerMethodPath = handlerMethod.toString();
        // 这里使用了相对路径 ,没有用绝对路径,参数相同的不同调用方也会拦住
        String requestURI = request.getRequestURI();
        Map<String, String[]> parameterMap = request.getParameterMap();
        String messagePayload = getMessagePayload(request);
        String paramsMap = JSONUtil.toJsonStr(parameterMap);
        String appName = SpringUtil.getApplicationContext().getEnvironment().getProperty("app.name");
        String redisKey = String.format(REPEAT_SUBMIT_KEY, appName, controllerMethodPath);

        String value = requestURI + paramsMap + messagePayload;
        String encodeValue = Hashing.md5().hashString(value, StandardCharsets.UTF_8).toString();
        boolean exist = false;
        try {
            // 后续 节省空间 看以替换成 bitmap
            exist = !redisService.setNx(redisKey + encodeValue, encodeValue, interval, TimeUnit.MILLISECONDS);
        } catch (Exception e) {
            // redis 不可用,不阻塞主流程 ,只打印日志
            logger.error("redis 异常", e);
        }

        if (exist) {
            logger.info("重复请求 rediskey:{},value :{}", redisKey+encodeValue, value);
            throw new BaseRunTimeException(BaseExceptionEnum.SYS_ERROR.getCode(), message);
        }


        logger.info("paramsMap:{},messagePayload:{}", paramsMap, messagePayload);
        return true;
    }


        /**
         * 1.处理注解信息
         *
         * 1.取出所有参数  和 url
         * 2.拼接成 唯一码 ,存入redis
         * 3.判断是否存在
         */
    

    protected String getMessagePayload(HttpServletRequest request) {
        KdmpContentCachingRequestWrapper wrapper = WebUtils.getNativeRequest(request, KdmpContentCachingRequestWrapper.class);
        if (wrapper == null) {
            return null;
        }
        byte[] buf = wrapper.getContentAsByteArray();
        if (buf.length > 0) {
            int length = buf.length;
            try {
                return new String(buf, 0, length, wrapper.getCharacterEncoding());
            } catch (UnsupportedEncodingException ex) {
                return "[unknown]";
            }
        }

        return null;

    }

  

}

后端如何读取所有请求参数 ?

request对象中的 body 数据不支持重复读取 ,所以需要首先实现可以重复读取body的 request 对象。

使用   HttpServletRequestWrapper 的功能,同时参考 spring-web utils包中 ContentCachingRequestWrapper 的实现 。主要 缓存了流的内容,实现可重复读取的流。

实现 MyContentCachingRequestWrapper

import org.apache.commons.io.IOUtils;
import org.springframework.http.HttpMethod;
import org.springframework.http.MediaType;
import org.springframework.lang.Nullable;
import org.springframework.web.util.ContentCachingResponseWrapper;
import org.springframework.web.util.WebUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.net.URLEncoder;
import java.util.*;

/**
 * {@link javax.servlet.http.HttpServletRequest} wrapper that caches all content read from
 * the {@linkplain #getInputStream() input stream} and {@linkplain #getReader() reader},
 * and allows this content to be retrieved via a {@link #getContentAsByteArray() byte array}.
 *
 * <p>This class acts as an interceptor that only caches content as it is being
 * read but otherwise does not cause content to be read. That means if the request
 * content is not consumed, then the content is not cached, and cannot be
 * retrieved via {@link #getContentAsByteArray()}.
 *
 * <p>Used e.g. by {@link org.springframework.web.filter.AbstractRequestLoggingFilter}.
 * Note: As of Spring Framework 5.0, this wrapper is built on the Servlet 3.1 API.
 *
 * @author Juergen Hoeller
 * @author Brian Clozel
 * @see ContentCachingResponseWrapper
 * <p>
 * 重写下,可以重复读取流
 * @since 4.1.3
 */
public class MyContentCachingRequestWrapper extends HttpServletRequestWrapper {

    private final ByteArrayOutputStream cachedContent;


    @Nullable
    private ServletInputStream inputStream;

    @Nullable
    private BufferedReader reader;


    /**
     * Create a new ContentCachingRequestWrapper for the given servlet request.
     *
     * @param request the original servlet request
     */
    public MyContentCachingRequestWrapper(HttpServletRequest request) {
        super(request);
        int contentLength = request.getContentLength();
        this.cachedContent = new ByteArrayOutputStream(contentLength >= 0 ? contentLength : 1024);

        // 直接缓存流
        try {
            if (isFormBody()) {
                ServletInputStream inputStream = this.getRequest().getInputStream();
                IOUtils.copy(inputStream, this.cachedContent);
            }

        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }


    @Override
    public ServletInputStream getInputStream() throws IOException {
        // 每次都是一个新流
        this.inputStream = new ContentCachingInputStream(cachedContent.toByteArray());
        return this.inputStream;
    }

    @Override
    public String getCharacterEncoding() {
        String enc = super.getCharacterEncoding();
        return (enc != null ? enc : WebUtils.DEFAULT_CHARACTER_ENCODING);
    }

    @Override
    public BufferedReader getReader() throws IOException {
        if (this.reader == null) {
            this.reader = new BufferedReader(new InputStreamReader(getInputStream(), getCharacterEncoding()));
        }
        return this.reader;
    }

    @Override
    public String getParameter(String name) {

        return super.getParameter(name);
    }


    @Override
    public Map<String, String[]> getParameterMap() {
        return super.getParameterMap();
    }

    @Override
    public Enumeration<String> getParameterNames() {
        return super.getParameterNames();
    }

    @Override
    public String[] getParameterValues(String name) {

        return super.getParameterValues(name);
    }

    private boolean isFormBody() {
        String contentType = getContentType();
        return (contentType != null &&
                (contentType.contains(MediaType.APPLICATION_JSON_VALUE)
                        || contentType.contains(MediaType.APPLICATION_XML_VALUE)
                )
        );
    }


    private boolean isFormPost() {
        String contentType = getContentType();
        return (contentType != null && (contentType.contains(MediaType.APPLICATION_FORM_URLENCODED_VALUE) || contentType.contains(MediaType.MULTIPART_FORM_DATA_VALUE)) &&
                (HttpMethod.POST.matches(getMethod())
                        || HttpMethod.GET.matches(getMethod())
                        || HttpMethod.PUT.matches(getMethod())
                        || HttpMethod.DELETE.matches(getMethod())
                        || HttpMethod.HEAD.matches(getMethod())
                        || HttpMethod.PATCH.matches(getMethod())
                )
        );
    }


    /**
     * Return the cached request content as a byte array.
     * <p>The returned array will never be larger than the content cache limit.
     * <p><strong>Note:</strong> The byte array returned from this method
     * reflects the amount of content that has has been read at the time when it
     * is called. If the application does not read the content, this method
     * returns an empty array.
     *
     * @see #ContentCachingRequestWrapper(HttpServletRequest, int)
     */
    public byte[] getContentAsByteArray() {
        return this.cachedContent.toByteArray();
    }

    /**
     * Template method for handling a content overflow: specifically, a request
     * body being read that exceeds the specified content cache limit.
     * <p>The default implementation is empty. Subclasses may override this to
     * throw a payload-too-large exception or the like.
     *
     * @param contentCacheLimit the maximum number of bytes to cache per request
     *                          which has just been exceeded
     * @see #ContentCachingRequestWrapper(HttpServletRequest, int)
     * @since 4.3.6
     */
    protected void handleContentOverflow(int contentCacheLimit) {
    }


    private class ContentCachingInputStream extends ServletInputStream {

        private final ByteArrayInputStream is;

        private boolean overflow = false;

        public ContentCachingInputStream(byte[] content) {
            this.is = new ByteArrayInputStream(content);
        }

        @Override
        public int read() throws IOException {
            int ch = this.is.read();
            return ch;
        }

        @Override
        public int read(byte[] b) throws IOException {
            int count = this.is.read(b);
            return count;
        }


        @Override
        public int read(final byte[] b, final int off, final int len) throws IOException {
            int count = this.is.read(b, off, len);
            return count;
        }

        @Override
        public int readLine(final byte[] b, final int off, final int len) throws IOException {
            int count = this.is.read(b, off, len);
            return count;
        }

        @Override
        public boolean isFinished() {
            return this.is.available() == 0;
        }

        @Override
        public boolean isReady() {
            return true;
        }

        @Override
        public void setReadListener(ReadListener readListener) {

        }
    }

}

 注册 filter

public class RequestWrapFilter extends OncePerRequestFilter implements OrderedFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        HttpServletRequest requestToUse = request;
        if (!(request instanceof MyContentCachingRequestWrapper)) {
            requestToUse =  new MyContentCachingRequestWrapper(request);
        }
        logger.debug("RequestWrapperFilter success");
        filterChain.doFilter(requestToUse, response);
    }

    @Override
    public int getOrder() {
        return REQUEST_WRAPPER_FILTER_MAX_ORDER ;
    }
}

结尾: 上述代码虽然不完整,但是已经包含了 核心逻辑和思想。

迭代想法:组件化可以封装成 springboot -starter 开放调用、代码步骤抽象、判重逻辑抽象支持自定义如 mysql 等其他方式

大米饭66
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
后端怎样防止重复提交订单?
weixin_46294086的博客
04-09 1424
代码精选(www.codehuber.com),程序员的终身学习网站已上线!后端技术】、【前端领域】感兴趣的小可爱,也欢迎关注❤️❤️❤️ 【JavaGPT】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💝💝💝!
后端接口防重几种策略
苦行僧
02-15 6287
文章目录背景方案策略一:唯一索引机制策略二: 分布式锁策略三:缓存计数器 背景 在开发中很容易忽略接口防重的场景,比如交易中支付防重问题、营销系统中C端领取优惠券接口防重等等处理不当很容易引起资损。 方案 主流方式有三种策略:唯一索引机制、分布式锁和缓存计数器。 策略一:唯一索引机制 新建一个表用于存储锁的记录, CREATE TABLE `Lock` ( `id` int(11) unsign...
简单的防重处理
iteye_1864的博客
10-19 329
这只是自己遇到的防重处理,希望对后来者有所帮助。 1、页面防重处理: [code="java"] jsp: 审批 script document.getElementById("approve").setAttribute("disabled",true); [/code] 2、service中防重处理: [code="java"] public synchronize...
guava的hashing.md5.hashstring加密方法使用
mischen520的博客
10-04 2396
1.调用类 /** * 注册 * @param user * @param enableUrl * @return */ public boolean addAccount(User user, String enableUrl) { user.setPasswd(HashUtils.encryPassword(user.getPasswd())); BeanHelper.onInsert(user); userMapper.insert(u
彻底搞懂:防止表单重复提交,前端限制还是后端限制?
孤芳不自赏
10-17 509
在Web应用中,防止表单重复提交是一个常见的需求。那么,是在前端做限制还是后端做限制更好呢?本文将从多个角度进行分析,帮助你找到最佳解决方案。
后端接入层技术的一些思考.doc
07-13
后端接入层技术是构建现代互联网系统的关键组成部分,它的主要职责是接收来自前端用户的请求,并将这些请求转发给后端逻辑层进行处理,最后将处理结果返回给用户。接入层扮演着流量入口的角色,具备流量调度、安全...
Python 后端开发人员.pdf
最新发布
04-14
- **需求分析与沟通**:能够准确理解业务需求,并与前端开发、产品经理等不同角色进行有效沟通。 - **问题解决能力**:面对复杂问题时具备良好的逻辑思维和问题解决技巧。 #### 七、高级话题 - **异步编程**:了解...
政务云平台建设的最佳实践与思考.pptx
10-10
【政务云平台建设的最佳实践与思考】 政务云平台的建设是一项复杂的系统工程,涉及到政策、技术、资金和人力资源等多个方面。在中国,政务云建设的主要挑战包括资金短缺、人才匮乏、技术理解不足以及行政壁垒等问题...
制造业企业中台建设思考与实践.rar
09-10
企业中台,源于互联网行业的概念,是指构建在企业后端系统和前端应用之间的共享服务中心,旨在通过统一的数据处理、服务化和能力复用,提高业务创新速度和响应市场变化的能力。在制造业中,企业中台能够整合生产、...
关于图书借阅管理系统的设计思考_图书借阅管理_
10-03
2. 技术架构选择:通常,图书借阅管理系统采用B/S架构,前端采用Web技术,后端采用关系型数据库(如MySQL、Oracle)存储数据,中间层可能用到Java、Python或.NET等开发语言,实现业务逻辑。此外,RFID技术的应用可以...
md5_hash(对文件求取哈希值)
05-15
对文件进行求MD5哈希值 前面传的那个只对字符串求哈希,适用于密码验证;而这次传的是对文件求哈希,适用于文件验证. 源自:http://blog.csdn.net/dengzhaoqun/article/details/7983322
Java后台防止请求重复提交,拦截器+注解实现防止表单重复提交
踮脚敲代码
11-17 3161
由于网络原因,用户操作有误(连续点击两次以上提交按钮),或者页面卡顿等原因,可能会出现请求重复提交,造成数据库保存多条重复数据。后端实现拦截器防重。那么如何防止请求重复提交呢?一般有两种解决方案:第一种:前端处理,在提交完成之后,将按钮禁用。第二种:后端处理,使用拦截器拦截。交给前端解决,判断多长时间内不能再次点击按钮,或者点击之后禁用按钮,当然,聪明的小伙伴能够绕过前端验证,因此推荐后端进行拦截处理。
后端怎么防止重复提交?(常用的做法)
prettyboy2ge的博客
02-08 2895
客户端的抖动,快速操作,网络通信或者服务器响应慢,造成服务器重复处理。防止重复提交,除了从前端控制,后台也需要控制。 因为前端的限制不能解决彻底。 接口实现,通常要求幂等性,保证多次重复提交只有一次有效。对于更新操作,达到幂等性很难。 常用后端防止重复提交方案 token 访问请求到达服务器,服务器端生成token,分别保存在客户端和服务器。提交请求到达服务器,服务器端校验客户端带来的token与 此时保存在服务器的token是否一致,如果一致,就继续操作,删除服务器的token。如果..
MD5碰撞和MD5值(哈希值)相等
Sea_Sand息禅
12-10 6613
md5的碰撞,在PHP的数的处理中,0开头的字符串会被转换成0,所以才会有md5碰撞。 0e开头的md5和原值: QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587...
guava 使用hash算法
我要改昵称
03-26 972
使用MD5算法获取摘要,并转换为字符串: Hashing.md5().hashString("sdf");//881710b97e322568d6e8685aa3fbea63   使用sha256: Hashing.sha256().hashString("sdf");//47e476c029f83f2e8fa32d6687956d3ae4db58815da964985a18b0fb4f...
Google Guava工具类-Hash(散列) Hashing(md5、sha1、sha256、Base64等)
西京刀客
08-14 1767
文章目录一、关于Guava Hash如何使用1. 引入guava maven1. Hashing1.1 根据字符串获取md5、sha1、sha256结果 一、关于Guava Hash Guava Hash(散列)指的是通过某种算法把数据源通过一系列的转换生成一串字符串。常见的例如hash code生成,加密字符的生成,检验字符的生成等等。接下来我们就对Guava Hash(散列)的使用做一个介绍。使用很简单。Guava Hash(散列)里面也给我们提供了很多hash算法。已经能满足我们大部分需求了。 Ha
加密---Hash MD5加密
LongtengGensSupreme博客
06-21 873
using System; using System.Collections.Generic; using System.Text; using System.Security.Cryptography; namespace WLJTLongtengGenesAndSupreme.Security {     public class CryptographMD5     {
移动应用后端实战与架构思考
尽管文档中的部分技术细节可能已经过时,但文中关于系统架构和通用思考方法的讨论仍然具有一定的指导价值。 阅读者被提醒关注作者的最新动态,通过他的博客获取最新内容,强调分享和学习对于个人成长的重要性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值