redis防止黑客恶意攻击的简单办法

最新推荐文章于 2023-04-11 16:25:15 发布
最新推荐文章于 2023-04-11 16:25:15 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: redis 文章标签: redis 缓存 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36779138/article/details/122262076
版权

1.在redis中放入有用户标识的key,每次用户操作时都会根据用户标识的key去匹配一下,匹配上就能操作,匹配不上就拒绝。

下面的代码是商品秒杀场景,根据用户id和商品id去生成一个标识,然后放入redis缓存中。

@Override
    public String getMd5(Integer id,Integer userid){
        //检验用户的合法性
        User user = userMapper.findById(userid);
        if(user == null) throw new RuntimeException("用户信息不存在!");
        log.info("用户信息:[{}]",user.toString());
        //检验商品的合法性
        Stock stock = stockMapper.checkStock(id);
        if(stock == null) throw new RuntimeException("商品信息不合法!");
        log.info("商品信息:[{}]",stock.toString());
        //生成hashkey
        String hashKey = "KEY_"+userid+"_"+id;
        //生成md5//这里!QS#是一个盐 随机生成
        String key = DigestUtils.md5DigestAsHex((userid+id+"!Q*jS#").getBytes());
        stringRedisTemplate.opsForValue().set(hashKey,key,3600, TimeUnit.SECONDS);
        log.info("Redis写入:[{}][{}]",hashKey,key);
        return key;
    }

用户要秒杀商品时,根据用户id和商品id去redis查找有没有对应的签名,如果有则放行,没有就抛出异常。

 @Override
    public int kill(Integer id, Integer userid, String md5) {
        //校验redis中秒杀商品是否超时
        if(!stringRedisTemplate.hasKey("killphone")){
            throw new RuntimeException("当前商品的抢购活动已经结束啦~~");
        }
        //先验证签名
        String hashKey = "KEY_"+userid+"_"+id;
        String s = stringRedisTemplate.opsForValue().get(hashKey);
        if(s==null) 
        	throw new RuntimeException("没有携带验证签名,请求不合法!");
        if(!s.equals(md5))
            throw new RuntimeException("当前请求数据不合法,请稍后再试!");
        //校验库存
        Stock stock = checkStock(id);
        //更新库存
        updateSale(stock);
        //创建订单
        return createOrder(stock);
    }

2.用redis根据用户id在一定时间范围内统计用户访问次数,超过一定次数就限制访问。

下面这个类是在redis中保存和查询用户访问次数。

@Slf4j
@Service
@Transactional
public class UserServiceImpl implements UserService {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public int saveUserCount(Integer userId) {
         //根据不同用户id生成调用次数的key
        String limitKey = "LIMIT"+"_"+userId;
        //获取redis中指定key的调用次数
        String limitNum = stringRedisTemplate.opsForValue().get(limitKey);
        int limit = -1;
        if(limitNum == null){
            //第一次调用放入redis中设置为0
            stringRedisTemplate.opsForValue().set(limitKey,"0",3600, TimeUnit.SECONDS);
         }else{
            //不是第一次调用每次+1
            limit = Integer.parseInt(limitNum)+1;
            stringRedisTemplate.opsForValue().set(limitKey,String.valueOf(limit),3600,TimeUnit.SECONDS);
        }
        return limit;
    }

    @Override
    public boolean getUserCount(Integer userId) {
        //根据userid对应key获取调用次数
        String limitKey = "LIMIT"+"_"+userId;
        //根据用户调用次数的key获取redis中调用次数
        String limitNum = stringRedisTemplate.opsForValue().get(limitKey);
        if(limitNum == null){
            //为空直接抛弃说明key出现异常
            log.error("该用户没有访问申请验证值记录,疑似异常");
            return true;
        }
        return Integer.parseInt(limitNum) > 10;//false代表没有超过,true代表超过
    }
}

当用户在一定时间内访问次数达到限制次数,就不让用户再去访问了。

//开发一个秒杀方法 乐观锁防止超卖+令牌桶算法限流+md5签名(hash接口隐藏)+单用户访问频率限制
    @GetMapping("killtokenmd5limit")
    public String killtokenmd5limit(Integer id,Integer userid,String md5){
        System.out.println("秒杀商品的id="+id);
        //加入 令牌桶的限流措施
        if(!rateLimiter.tryAcquire(3, TimeUnit.SECONDS)){
            log.info("抛弃请求:抢购失败,当前秒杀活动过于火爆,请重试");
            return "抛弃请求:抢购失败,当前秒杀活动过于火爆,请重试!";
        }
        try{
            //单用户调用接口的频率限制
            int count = userService.saveUserCount(userid);
            log.info("用户截止该次的访问次数为:[{}]",count);
            //进行调用次数的判断
            boolean isBanned = userService.getUserCount(userid);
            if(isBanned){
                log.info("购买失败,超过频率限制!");
                return "购买失败,超过频率限制!";
            }
            //根据秒杀商品id 去调用秒杀业务
            int orderId = orderService.kill(id,userid,md5);
            return "秒杀成功,订单id为:"+String.valueOf(orderId);
        }catch(Exception e){
            e.printStackTrace();
            return e.getMessage();
        }
    }
菁菁兰花月
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot(五十五):基于redis防止接口恶意刷新和暴力请求
u013938578的博客
01-17 934
代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来达到自己的目的。下面只讲解大致步骤,不详细讲解,需要完整代码的可以自行下载。
springboot基于redis防止接口恶意刷新和暴力请求
01-17
资源相关博客:https://blog.csdn.net/u013938578/article/details/128717396
利用redis解决恶意刷新和暴力请求
张钰杰杰杰杰杰的博客
05-29 633
利用ip+url防止暴力请求
Redis Docker容器安全性护,防止入侵】
诗和远方,代码和你
07-24 1438
■ 需求背景 为团队构建测试环境缓存 ■ 实现步骤 Step. Docker Hub上找镜像: Step. Docker Hub上拉指定版本镜像: Step. 查看镜像: Step. 新建配置文件: Step. 创建脚本并运行 Step. 测试连接: Step. 测试监控:,键入 Step. 查看宿主机数据目录:,发现挂载成功Step.查看redis数据 + log + pid文件存储的默认目录dir:,结果若不是 /data,则设置一下: 备注 1)可以设置redis密码:,下次连接redis客户端,需经
redis安全攻(专注渗透视角)
LainWith的博客
04-11 2863
数据库作为业务平台信息技术的核心和基础,承载着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业经济损失,重则影响企业形象,甚至行业、社会安全。可见,数据库安全至关重要。所以对数据库的保护是一项必须的,关键的,重要的工作任务。
redis安全
qq_40907977的博客
06-17 5326
edis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证。 *Redis 未授权访问漏洞,Redis设置认证密码加固建议 防止这个漏洞需要修复以下三处问题 第一: 修改redis绑定的IP 如果只在本机使用redis服务那么只要绑定127.0.0.1 如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口 最好不要绑定0.0.0.0 另外需要通过主机内置的火墙如iptables,或者其他外置火墙禁止非业务主机访问redis服务 第二:
PHP实现Redis单据锁以及防止并发重复写入
12-20
为了防止这种情况对系统造成异常影响,我们通过Redis实现了一个简单的单据锁,每个请求需先获取锁才能执行业务逻辑,执行结束后才会释放锁;保证了同一单据的并发重复操作请求只有一个请求可以获取到锁(依赖Redis的...
redis实现计数器-防止刷单方法介绍
01-21
调用redis的方法: INCR key 将 key 中储存的数字值增一。 如果 key 不存在,那么 key 的值会先被初始化为 0 ,然后再执行 INCR 操作。 如果值包含错误的类型,或字符串类型的值不能表示为数字,那么返回一个错误...
PHP使用Redis实现防止大并发下二次写入的方法
10-19
主要介绍了PHP使用Redis实现防止大并发下二次写入的方法,结合实例形式分析了php使用锁机制实现并发读写redis情况下的读写错误,需要的朋友可以参考下
redis专栏 002 springboot redis 防止表单重复提交
最新发布
04-23
redis专栏 002 springboot redis 防止表单重复提交
springboot 自定义注解+拦截器+Redis实现限流,防止恶意刷接口实践
浪丶荡
11-18 939
自定义注解,具体频次,根据具体场景设置 import java.lang.annotation.*; @Inherited @Documented @Target({ElementType.FIELD, ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) /** * 限流注解 */ public @interface AccessLimit { //标识 指定sec时间段内的访问次数限制
Spring Boot 如何使用 Redis 进行 API 刷限流?
Java技术栈,分享最主流的Java技术
09-11 366
Java技术栈www.javastack.cn关注阅读更多优质文章限流的需求出现在许多常见的场景中:秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动某api被各式各样系统广泛...
使用redis制作一个简单御模块 抵御恶意http请求攻击
热门推荐
pass_JMC的博客
10-31 1万+
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本人是个菜鸡大学仔,平时也没有写csdn的习惯,刚刚做完一个小型外包项目不久没什么事,突然心血来潮,突发大胆想法。多年来由于始终不敢相信2G+1M的阿里云服务器的性能,一直想要自己尝试做一个简单的HTTP安全模块,防止好事者通过浏览器或者程序使用http访问刷我的服务器,恰逢今日有空,打算在原本的一个自己开发的..
通过Redis 防止接口被恶意请求
曹品东
10-15 439
//Redis 防止恶意请求 function api_frequency_visits($uid) { $key = "user:{$uid}:api:frequency"; $redis = $this->redis(); $data = $redis->hGetAll($key); //需要删除的key $del_key = []; //时间内访问的总次数 $total = 0; //时间内最大访问次数 $max.
redis实战:redis限制某ip的恶意请求
且行且吟
07-19 9757
在我们日常开发工作中,经常会遇到接口被恶意请求的情况,应用redis,我们可以很方便的限制某ip一定时间段内对接口的请求次数。 具体实现代码如下: 接口文件:api.php <?php require_once 'redis.php'; $ip = $_SERVER['REMOTE_ADDR']; $redis = new iredis(); //如果该ip存在值说明30秒内重复请求了,
redis漏洞攻击
花非花雾非雾物语人生
06-14 1847
措施:1. 禁止Redis服务对公网开放,可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ,去掉前面的"#"即可(Redis本来就是作为内存数据库,只要监听在本机即可);2. 设置密码访问认证,可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 (需要重启Redis服务才能生效);3. 对访问源IP进行访问控制,可在火墙限定指定源...
Redis缓存防止网站cc攻击
敦煌的驼铃_Blog
01-24 1394
Redis缓存防止网站cc攻击 介绍 前面写过一片利用session防止网站cc攻击的博客,这里换另一种方法,利用redis自增 来防止网站cc攻击。 废话不多说,上代码 简单redis操作类 <?php namespace App\model\cache\redis; class redis { private static $RedisObj; priva
redis攻击,怎么预
weixin_33696106的博客
12-18 586
今天,自己的redis服务器被黑客攻击了,数据全部被删除 从图中可以看到,在db0中多了一个crackit,他就是罪魁祸首,他的值就是ssh无密码连接时需要的authorized_keys。 我们被攻击,主要是因为没有打开火墙,而且6379这个端口直接对外暴露,所以遭到了黑客攻击。 解决办法: 1.打开火墙,6379端口只对调用的ip暴漏(如何配置见我上一篇博客) 2.为r...
使用redis记录登录次数防止暴力破解
佳佳乐的博客
03-06 1953
//向redis里存入数据和设置缓存时间 stringRedisTemplate.opsForValue().set("baike", "100", 60 * 10, TimeUnit.SECONDS); //val做-1操作 stringRedisTemplate.boundValueOps("baike").increment(-1); //根据key获取缓存中的val stri...
redis防止缓存穿透
05-30
Redis防止缓存穿透的方法有以下几种: 1. 布隆过滤器:使用布隆过滤器可以快速判断一个请求的key是否在缓存中,如果不在则直接返回,避免了对底层存储系统的访问,减轻了系统压力。 2. 缓存空对象:如果一个key...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值