手写基于AOP限流的注解,防止恶意刷接口

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量477 收藏 3
点赞数 1
文章标签: java redis aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35429398/article/details/117128720
版权

先上代码,使用自定义 @AccessLimit(seconds = 30,maxCount = 10)注解可以实现对于一个用户(IP或者账号),30秒内被注解的方法只能被访问10次,30秒后又重置次数。

    @RequestMapping("/redis")
    @AccessLimit(seconds = 30,maxCount = 10)
    @Cacheable(cacheNames = "user", key = "#a+''+#b", unless = "#a==null || # b==null")
    public String redis(String a, String b) {
        RLock lock = redissonClient.getLock("lock");
        lock.lock();
        System.out.println(Thread.currentThread().getName()+"拿到锁对象。");
        String o;
        try {
            o = (String) redisTemplate.opsForValue().get("user::" + a + b);
            if (o==null){
                System.out.println("查询数据库");
                o="数据库数据"+a+b;
            }
        }finally {
            if (lock!=null){
                lock.unlock();
            }
        }
        return o;
    }

其中我这里使用了spring cache的注解@Cacheable,在没有使用限流注解之前,每次将数据库返回的数据存入redis,但是问题就来了,因为存入redis的key是根据搜索条件a和b变化的,如果每次修改a和b的值,或者用时间戳去作为参数,那么每次都会进入方法体,去查询数据库,最终导致redis缓存穿透,所以在这里自定义了@AccessLimit注解,来防止恶意刷接口。

第一步,在maven中引入aop依赖。

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
            <version>2.2.6.RELEASE</version>
        </dependency>

第二步,编写限流AccessLimit注解。

package com.salong.myself.config.AccessLimit;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * @author Salong
 * @date 2021/5/17 16:32
 * @Email:salong0503@aliyun.com
 * 限流(防止接口被刷)
 */

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {
    int seconds() default 60;
    int maxCount() default 10;
}

第三步,将AccessLimit注解放入AOP切点中。

package com.salong.myself.config.AccessLimit;

import com.alibaba.fastjson.JSONObject;
import com.salong.myself.common.response.Response;
import com.salong.myself.common.response.RetCode;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.*;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.net.InetAddress;
import java.net.UnknownHostException;
import java.util.concurrent.TimeUnit;

/**
 * @author Salong
 * @date 2021/5/17 16:37
 * @Email:salong0503@aliyun.com
 */

@Aspect
@Component
@Slf4j
public class AccessLimitAop {

    @Resource
    private RedisTemplate<String,Integer> redisTemplate;

    /**
     * 切入点为AccessLimit注解
     */
    @Pointcut("@annotation(com.salong.myself.config.AccessLimit.AccessLimit)")
    public void cutLimit(){}

    @Around("cutLimit() && @annotation(accessLimit)")
    public Object around(ProceedingJoinPoint point,AccessLimit accessLimit) throws Throwable {
        MethodSignature ms = (MethodSignature) point.getSignature();
        Method method = ms.getMethod();
        HttpServletRequest request  = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        //设置redis的key,用方法名和ip来命名
        String ip=getIpAddrFromNginx(request);
        String key=ip+"::"+ms.getName()+method.getName();
            Integer count =  redisTemplate.opsForValue().get(key);
            if (null == count || -1 == count) {
                redisTemplate.opsForValue().set(key, 1,accessLimit.seconds(), TimeUnit.SECONDS);
                return point.proceed();
            }
            //判断是否限流
            if (count < accessLimit.maxCount()){
                redisTemplate.opsForValue().increment(key);
                return point.proceed();
            }else {
                log.warn("开始限流");
//返回封装的Response类
                return JSONObject.toJSONString(Response.error(RetCode.REQUEST_FREQUENTLY));
            }
    }

    /**
     * 从nginx获取到用户ip,防止伪装ip
     *
     * @param request
     * @return
     * @throws UnknownHostException
     */
    public static String getIpAddrFromNginx(HttpServletRequest request) throws UnknownHostException {
        // 从Nginx中X-Real-IP获取真实ip
        String ipAddress = request.getHeader("X-Real-IP");
        if (ipAddress != null && ipAddress.length() > 0 && !"unknown".equalsIgnoreCase(ipAddress)) {
            log.info("从X-Real-IP中获取到ip:" + ipAddress);
            return ipAddress;
        }
        //从Nginx中x-forwarded-for获取真实ip
        ipAddress = request.getHeader("x-forwarded-for");
        if (ipAddress != null && ipAddress.length() > 0 && !"unknown".equalsIgnoreCase(ipAddress)) {
            // 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
            int index = ipAddress.indexOf(",");
            if (index > 0) {
                ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));
            }
            log.info("从x-forwarded-for中获取到ip:" + ipAddress);
            return ipAddress;
        }
        ipAddress = request.getRemoteAddr();
        if ("127.0.0.1".equals(ipAddress) || "0:0:0:0:0:0:0:1".equals(ipAddress)) {
            // 根据网卡取本机配置的IP
            ipAddress = InetAddress.getLocalHost().getHostAddress();
        }
        log.info("从request.getRemoteAddr()中获取到ip:" + ipAddress);
        return ipAddress;
    }
}

注意:这个注解只能限制请求进入方法体内的频率,如果使用了Cacheable类似的注解,那么如果redis有匹配的值,将不会再进入方法体,直接查询redis并返回,所以不能够防止恶意刷查询redis,如果要防止恶意刷查询redis,那么需要将查询redis的操作写入方法体。

却诚Salong
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springboot注解+aop实现接口限流
09-07
springboot框架中使用自定义注解,配合切面实现接口限流,增加ip黑名单功能,可实现ip+账号+接口进黑名单,也可以实现账号+ip进黑名单及禁用账号; 可以学会自定义注解使用、自定义响应码枚举及使用、自定义异常类及使用、aop的使用、自定义动态配置全局配置项及使用、ip解析工具、自定义redis缓存key枚举及使用
@AccessLimit接口限流
qq_56769991的博客
04-01 2220
当我们需要对后端的某些接口进行限流(其实防止一些请求在一定时间内进行多次访问,比如防止用户1秒内多次进行评论、防止多次重复登录等操作,这时我们就需要对该接口进行限流) 当然限流操作还有一些场景: 秒杀活动,有人使用软件恶意单抢货,需要限流防止机器参与活动 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。 总的就是说防止同一用户对单个接口进行重复调用,这里我们
SpringBoot使用注解 拦截器 redis实现接口
CharlesYooSky的博客
04-18 235
接口记录
自定义 AccessLimit 注解实现 Spring Boot 接口
Sanchar
09-12 1916
技术要点:Spring Boot的基本知识 首先是写一个注解类: import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHO
springboot:自定义注解+redis实现接口限流
Wanankl的博客
02-02 359
自定义注解+redis实现接口限流
SpringBoot自定义注解AOP
donjar_zou的博客
07-22 1567
自定义AOP package com.xxx域名xxx.xxx项目名xx.annotation; import java.lang.annotation.*; @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AccessLimit { int seconds(); int maxCount(); } ..
java 常用注解
后海大鲨鱼
04-09 331
Bean:注解在方法上,声明当前方法的返回值为一个bean,替代xml中的方式;就是返回new 一个对象实例@Value:就是将配置文件中键对应的值分配给其带这个注解的属性,属性上:@Value("${}")在配置类上使用,开启计划任务的支持(类上)@Scheduled来申明这是一个任务,包括cron,fixDelay,fixRate等类型(方法上,需先开启计划任务的支持)
springboot中application.properties文件redis的配置
吴成伟的博客
10-26 9385
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连...
基于AOP实现权限控制,优化Java项目开发
weixin_54017930的博客
06-18 1086
本文所用的开发语言为Java,应用框架为Spring cloud/MyBatis-plus。示例中的代码为个人开发的缺陷跟踪系统代码片段。我们可以使用@Around上面代码中,我们首先引入了@Component注解和@Aspect注解,将这个类定义为一个切面。然后,在切面中,我们编写了一个方法,用于根据当前用户的权限等级进行权限校验。在方法中,我们通过解析切点的方法参数,找到其中的当前用户ID值,并依此获取到该用户的权限等级信息。之后,我们根据当前方法所定义的权限名称来进行具体的权限校验。
secKill项目 --- @AccessLimit用法的问题
Unknownfuture的博客
07-24 1608
先附上原本的代码: 项目中,用了拦截器,用于简化限流判断 @Service public class AccessInterceptor extends HandlerInterceptorAdapter{ @Autowired MiaoshaUserService miaoshaUserService; @Autowired RedisService redisService; @Override public boolean preHandle(HttpServletRequest re
JPA注解@Access实例
03-09
JPA注解@Access实例 test-jpa
springBoot+aop+自定义注解+本地线程实现统一接口日志及接口响应时长
02-01
内容概要:springboot+拦截器+aop+自定义注解+本地线程实现统一接口日志记录,记录下接口所在模块、接口描述、接口请求参数、接口返回参数、接口请求时间以及接口耗时用于接口优化,接口记录参数以及操作人防止使用...
aop切面注解-限流防止重复提交-2.docx
06-30
aop切面注解-限流防止重复提交-2.docx
AOP基于注解配置.zip
08-17
AOP基于注解配置.zip
基于注解实现SpringAop
12-15
基于注解实现SpringAop基于注解实现SpringAop基于注解实现SpringAop
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 260
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1387
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 517
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1288
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
redisson自定义注解接口限流
10-12
可以使用Redisson提供的分布式限流工具来实现自定义注解接口限流。具体实现步骤如下: 1. 定义一个注解,例如@RateLimiter,用于标记需要进行限流接口方法。 2. 在注解中定义相关属性,例如限流的速率、限流的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

却诚Salong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值