防止API重复请求(集群环境)

最新推荐文章于 2024-04-24 11:35:11 发布
最新推荐文章于 2024-04-24 11:35:11 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34382367/article/details/101468872
版权
背景

先了解一下需求详情:在项目的开发中,安全这块是必不可少的,今天的问题是:防止API重复请求。为什么要防止API重复请求呢?就是为了防止一些恶意的请求!

实现思路
  • 基于Spring Boot 2.x
  • 自定义注解,用来标记是哪些API是需要监控是否重复请求
  • 通过Spring AOP来切入到Controller层,进行监控
  • 检验重复请求的Key:Token + ServletPath + SHA1RequestParas
    • Token:用户登录时,生成的Token
    • ServletPath:请求的Path
    • SHA1RequestParas:将请求参数使用SHA-1散列算法加密
  • 使用以上三个参数拼接的Key作为去判断是否重复请求
  • 由于项目是基于集群的,所以使用Redis存储Key,而且redis的特性,key可以设定在规定时间内自动删除。这里的这个规定时间,就是api在规定时间内不能重复提交。以上就是个人的实现思路,下面一步一步来剖析。
剖析
  • 自定义注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface NoRepeatSubmission {

}
  • 注解作用于Controller层的API(数据都是模拟数据)
@RestController
@RequestMapping("/users")
public class UserController {

    @GetMapping({"", "/"})
    public Result<String> getUser() {
        return Result.success("Jason");
    }

    @NoRepeatSubmission
    @GetMapping("/{userNum}")
    public Result<String> getUser(@PathVariable Integer userNum) {
        String str = "";
        if (userNum == 1) {
            str = "Jason";
        } else if (userNum == 2) {
            str = "Rose";
        } else {
            str = "Other";
        }
        return Result.success(str);
    }

    @NoRepeatSubmission
    @PostMapping({"", "/{companyID}"})
    public Result<User> addUser(@PathVariable String companyID, @RequestBody User user) {
        return Result.success(user);
    }
}
  • 切面逻辑(重点)
@Slf4j
@Aspect
@Component
public class NoRepeatSubmissionAspect {

    @Autowired
    RedisTemplate<String, String> redisTemplate;

    /**
     * 环绕通知
     * @param pjp
     * @param ars
     * @return
     */
    @Around("execution(public * com.gotrade.apirepeatrequest.controller..*.*(..)) && @annotation(ars)")
    public Object doAround(ProceedingJoinPoint pjp, NoRepeatSubmission ars) {
        ValueOperations<String, String> opsForValue = redisTemplate.opsForValue();
        try {
            if (ars == null) {
                return pjp.proceed();
            }

            HttpServletRequest request = ((ServletRequestAttributes) Objects.requireNonNull(RequestContextHolder.getRequestAttributes())).getRequest();

            String token = request.getHeader("Token");
            if (!checkToken(token)) {
                return Result.failure("Token无效");
            }
            String servletPath = request.getServletPath();
            String jsonString = this.getRequestParasJSONString(pjp);
            String sha1 = this.generateSHA1(jsonString);

            // key = token + servlet path
            String key = token + "-" + servletPath + "-" + sha1;

            log.info("\n{\n\tServlet Path: {}\n\tToken: {}\n\tJson String: {}\n\tSHA-1: {}\n\tResult Key: {} \n}", servletPath, token, jsonString, sha1, key);

            // 如果Redis中有这个key, 则url视为重复请求
            if (opsForValue.get(key) == null) {
                Object o = pjp.proceed();
                opsForValue.set(key, String.valueOf(0), 3, TimeUnit.SECONDS);
                return o;
            } else {
                return Result.failure("请勿重复请求");
            }
        } catch (Throwable e) {
            e.printStackTrace();
            return Result.failure("验证重复请求时出现未知异常");
        }
    }

    /**
     * 获取请求参数
     * @param pjp
     * @return
     */
    private String getRequestParasJSONString(ProceedingJoinPoint pjp) {
        String[] parameterNames = ((MethodSignature) pjp.getSignature()).getParameterNames();
        ConcurrentHashMap<String, String> args = null;

        if (Objects.nonNull(parameterNames)) {
            args = new ConcurrentHashMap<>(parameterNames.length);
            for (int i = 0; i < parameterNames.length; i++) {
                String value = pjp.getArgs()[i] != null ? pjp.getArgs()[i].toString() : "null";
                args.put(parameterNames[i], value);
            }
        }
        return JacksonSerializer.toJSONString(args);
    }
}

切面贴出主要逻辑代码,就是获取request中相关的信息,然后再拼接成一个key;判断在redis是否存在,不存在就添加并设置规定时间后自动移除,存在就是重复请求 。

代码总结与拓展
  • 该功能是使用Spring AOP与Redis的特性进行开发
  • 有关详细代码并未贴出,防止篇幅太长,源码请看这里
  • 这里只是规定时间内防止重复提交,如果规定时间内,根据请求的次数去限制,可以设置key对应的value,用value进行判断
  • 下篇文章将给出使用Docker部署集群环境测试。
Reference

https://www.jianshu.com/p/09860b74658e

Java酸不酸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口重复提交
douxingpeng1的博客
08-15 1万+
重复提交的几种情况 1、利用JavaScript防止表单重复提交 按钮禁用 2、利用Session令牌防止表单重复提交 具体的做法:在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token。然后将Token发送到客户端的Form表单中,在Form表单中使用隐藏域来存储这个Token,表单提交的时候连同这个Toke.........
自定义注解解决API接口幂等设计防止表单重复提交(生成token存放到redis中)
07-28
自定义封装注解类,(生成token存放到redis中)通过注解的方式解决API接口幂等设计防止表单重复提交
ASP.NET WebApi服务接口如何防止重复请求实现HTTP幂等性(八)
weixin_33824363的博客
09-22 2019
一、背景描述与课程介绍 明人不说暗话,跟着阿笨一起玩WebApi。在我们平时开发项目中可能会出现下面这些情况; 1)、由于用户误操作,多次点击网页表单提交按钮。由于网速等原因造成页面卡顿,用户重复刷新提交页面。黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一...
前后端如何防止接口重复提交?
最新发布
whoyouare6165的博客
04-24 443
接口重复提交指的是在网络通信中,同一个请求被客户端多次发送到服务器端的情况。这种情况可能由于多种原因导致,例如用户在等待期间多次点击提交按钮、网络超时后客户端重新发送请求、客户端发送的请求在网络传输过程中出现重复等。接口重复提交可能会导致多种问题,当服务器收到重复请求时,可能会多次处理相同的数据,导致数据重复操作或者产生不一致的结果。重复提交请求会增加服务器的负载和资源消耗,特别是在高并发情况下,可能会导致服务器压力过大,影响系统的性能和稳定性。
API网关】如何防止API相同的数据被提交多次
RestCloud 技术支持的博客
06-13 612
通过网关对API防止重复提交的规则,如物品的ID不可重复,则可配置该规则,当识别到ID被重复提交,返回提示信息。在后端API不具备幂等性的情况下,如何防止相同的数据被提交多次?1.打开API网关平台,安全设置,防重复提交配置。3.把应用的API添加进规则。2.添加防重复提交规则。
API接口设计:防参数篡改+防二次请求
yuechuzhixing的博客
04-26 2346
API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址和请求参数 为了防止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制 1.首先: 需要采用https方式对第三方提供接口,数据的加密传输会更安全,即便是被破解,也需要耗费更多时间 2.其次:需要有安全的后台验证机制【本文重点】,达到防参数篡改+防二次请求 主要防御措施可以归纳为两点: 对请求的合法性进行校验 对请求的数据进行校验 防止重放攻击必须要保证请求仅一次有效 需要通过在请求体中携带当
xxl-job任务调度中心集群部署详细文档
01-19
XXL-JOB是一款轻量级分布式任务调度平台,它提供了简单易用的API接口和Web管理界面,使得任务调度变得非常方便。本篇文档将详细阐述如何进行XXL-JOB调度中心的集群部署,以及如何利用Nginx进行负载均衡配置,以确保...
fastdfs+nginx集群搭建的实现
01-09
它通过实现软件RAID和文件内容的重复数据删除来优化存储效率,同时提供了负载均衡的功能,使得文件存取更加均衡。FastDFS仅支持通过Client API进行访问,不支持POSIX接口,适用于存储大中型网站的资源文件,如图片、...
Asp.net刷新重复提交
09-22
例如,Session可能会过期,或者在多用户环境、负载均衡的服务器集群中,Session的同步可能是个挑战。因此,还有其他策略可以辅助解决这个问题: - **令牌(Token)**:生成一个唯一的令牌,附加在表单中,并在...
毕业设计后端 - 基于MongoDB分布式数据库集群的斗鱼弹幕采集系统设计.zip
08-03
6. **安全性与优化**:设计时要考虑API的安全性,比如使用JSON Web Tokens (JWT) 进行身份验证,防止未授权访问。此外,通过设置适当的连接池大小、数据批处理等手段,可以优化数据库的性能。 7. **监控与故障排查*...
使用rabbitmq解决超卖问题
11-28
- **幂等性**:为了防止因网络等原因导致消息重复消费,消费者端需要实现幂等性。即使多次消费同一条消息,结果依然保持一致,不会造成库存负数。 3. **分布式事务**: - 由于RabbitMQ不支持分布式事务,因此需要...
Go实现防止多次提交表单
01-08
func login(w http.ResponseWriter,r *http.Request){ if r.Method==GEt{//登录界面 crutime:=time.Now().Unix()//获取当前时间戳 h:=md5.New()//获取md5哈希接口 io.WriteString(h,strconv.FormatInt(crutime,10))//写入h中 token:=fmt.Sprintf(%x,h.Sum(nil))//获取哈希结果 t,_=template.ParseFiles(login.gtpl)//解析模板 t.Execut
Spring boot通过AOP防止API重复请求代码实例
08-25
主要介绍了Spring boot通过AOP防止API重复请求代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
防止接口恶意多次请求的操作
xiexinxx0225的博客
06-13 2393
SpringBoot 防止接口恶意多次请求的操作
API 接口防刷(接口请求次数限制)
仰望-星空~~的博客
08-19 1276
创建自定义的注解请求限制的自定义注解@Target 注解可修饰的对象范围,ElementType.METHOD 作用于方法,ElementType.TYPE 作用于类(ElementType)取值有:1.CONSTRUCTOR:用于描述构造器2.FIELD:用于描述域3.LOCAL_VARIABLE:用于描述局部变量4.METHOD:用于描述方法5.PACKAGE:用于描述包6.PARAMETER:用于描述参数7.TYPE:用于描述类、接口(包括注解类型) 或enum声明。
接口如何防重复请求
weixin_42601702的博客
01-05 1089
防止重复请求,有几种常见的方法: 在服务端设置请求的唯一标识,如果有重复请求,则忽略后续的请求。 在服务端设置对于每个请求的处理时间,如果请求的处理时间过短,则忽略后续的请求。 在客户端设置请求的唯一标识,服务端记录所有已处理的请求的唯一标识,如果有重复请求,则忽略后续的请求。 在客户端设置时间戳,服务端记录所有已处理的请求的时间戳,如果有重复请求,则忽略后续的请求。 哪种方法...
WebApi接口在超短时间内重复提交的解决方案
09-02 1387
防止短时间内重复提交请求的简单解决方法
前端接口防止重复请求实现方案
程序员成长指北
03-09 186
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群前言前段时间老板心血来潮,要我们前端组对整个的项目都做一下接口防止重复请求的处理(似乎是有用户通过一些快速点击薅到了一些优惠券啥的)。。。听到这个需求,第一反应就是,防止薅羊毛最保险的方案不还是在服务端加限制吗?前端加限制能够拦截的毕竟有限。可老板就是执意要前端搞一下子,行吧,搞就搞吧,you ...
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
caixiangting的博客
02-22 778
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
Windows 2008 R2 + SQL 2008 R2 集群环境配置指南
"Windows_2008_R2+SQL_2008R2_集群环境搭建" 在IT领域,集群环境搭建是一项关键的技术任务,特别是在大型企业或数据中心中,确保高可用性和数据安全性。本资源提供了一个详细的技术文档,指导如何在Windows Server ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值