(16)SprintBoot 2.X 接口限流防刷

最新推荐文章于 2024-07-08 19:47:45 发布
最新推荐文章于 2024-07-08 19:47:45 发布
阅读量795 收藏 1
点赞数
分类专栏: SpringBoot SpringBoot实战 Java框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40776491/article/details/98506663
版权

(16)SprintBoot 2.X 接口限流防刷

1. 接口限流防刷

1.1 思路
  • 限制同一用户一定时间内(如1 min)只能访问固定次数,可以使用拦截器减少对业务的侵入,在服务端对系统做一层保护
1.2 技术细节
1.用户图片验证码验证通过后获取秒杀路径
2. 前缀+userId作为一个记录该用户访问次数的key,在redis中记录该用户访问次数
3. 每次获取秒杀路径前,实现一个拦截器,从redis中取出该该用户的访问次数
   1)如果缓存里面没有取到,初始化为1.
   2)如果缓存里面取得值并且小于限定次数,incr该key,进入获取秒杀路径业务逻辑
   3)如果超过访问次数,直接返回“频繁访问”

2. 代码实现

2.1 拦截器注解的引用 @AccessLimit(seconds=5, maxCount=5, needLogin=true)
    @AccessLimit(seconds=5, maxCount=5, needLogin=true)
    @RequestMapping(value="/path", method=RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(HttpServletRequest request, MiaoshaUser user,
                                         @RequestParam("goodsId")long goodsId,
                                         @RequestParam(value="verifyCode", defaultValue="0")int verifyCode
    ) {
        if(user == null) {
            return Result.error(CodeMsg.SESSION_ERROR);
        }
        String path = miaoshaService.createMiaoshaPath(user,goodsId);
        boolean check = miaoshaService.checkVerifyCode(user, goodsId, verifyCode);
        if(!check) {
            return Result.error(CodeMsg.REQUEST_ILLEGAL);
        }
        return Result.success(path);
    }
2.2 @AccessLimit注解的实现
@Retention(RUNTIME)
@Target(METHOD)
public @interface AccessLimit {
    int seconds();
    int maxCount();
    boolean needLogin() default true;
}
2.3 缓存Key前缀,可以设置有效时间
public class AccessKey extends BasePrefix{
    private AccessKey( int expireSeconds, String prefix) {
        super(expireSeconds, prefix);
    }

    public static AccessKey withExpire(int expireSeconds) {
        return new AccessKey(expireSeconds, "access");
    }
}
2.4 注解能够生效,必须要配置拦截器AccessInterceptor
2.4.1 继承HandlerInterceptorAdapter拦截器基类,通过实现这个接口,拿到方法上的注解
2.4.2 判断用户登录
  • 这里将之前原先定义在解析用户参数的代码封装。然后在将用这个封装的用户信息,set到ThreadLocal 中,本地线程副本,该变量与线程绑定,存取只会存取在本地线程中。然后之前获取用户的代码直接取到该用户即可。
2.4.3 判断访问次数与失效时间(缓存时间)
* 判断访问次数count ,从缓存中存取,然后根据注解时间,动态设置缓存的过期时间

@Service
public class AccessInterceptor  extends HandlerInterceptorAdapter{

    @Autowired
    MiaoshaUserService userService;

    @Autowired
    RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        if(handler instanceof HandlerMethod) {
            MiaoshaUser user = getUser(request, response);
            UserContext.setUser(user);
            HandlerMethod hm = (HandlerMethod)handler;
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if(accessLimit == null) {
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean needLogin = accessLimit.needLogin();
            String key = request.getRequestURI();
            if(needLogin) {
                if(user == null) {
                    render(response, CodeMsg.SESSION_ERROR);
                    return false;
                }
                key += "_" + user.getId();
            }else {
                //do nothing
            }
            AccessKey ak = AccessKey.withExpire(seconds);
            Integer count = redisService.get(ak, key, Integer.class);
            if(count  == null) {
                redisService.set(ak, key, 1);
            }else if(count < maxCount) {
                redisService.incr(ak, key);
            }else {
                render(response, CodeMsg.ACCESS_LIMIT_REACHED);
                return false;
            }
        }
        return true;
    }

    private void render(HttpServletResponse response, CodeMsg cm)throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        OutputStream out = response.getOutputStream();
        String str  = JSON.toJSONString(Result.error(cm));
        out.write(str.getBytes("UTF-8"));
        out.flush();
        out.close();
    }

    private MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response) {
        String paramToken = request.getParameter(MiaoshaUserService.COOKIE_NAME_TOKEN);
        String cookieToken = getCookieValue(request, MiaoshaUserService.COOKIE_NAME_TOKEN);
        if(StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return null;
        }
        String token = StringUtils.isEmpty(paramToken)?cookieToken:paramToken;
        return userService.getByToken(response, token);
    }

    private String getCookieValue(HttpServletRequest request, String cookiName) {
        Cookie[]  cookies = request.getCookies();
        if(cookies == null || cookies.length <= 0){
            return null;
        }
        for(Cookie cookie : cookies) {
            if(cookie.getName().equals(cookiName)) {
                return cookie.getValue();
            }
        }
        return null;
    }
}
2.5 UserContext 封装用户信息 ,ThreadLocal 线程安全,保存当前线程的user,方便下次使用
public class UserContext {

    private static ThreadLocal<MiaoshaUser> userThreadLocal = new ThreadLocal<MiaoshaUser>();

    public static void setUser(MiaoshaUser user){
        userThreadLocal.set(user);
    }
    public static MiaoshaUser gerUser(){
        return userThreadLocal.get();
    }
}
2.6 拦截器注册,继承WebMvcConfigurerAdapter后重写addInterceptors()
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter{

    @Autowired
    UserArgumentResolver userArgumentResolver;

    @Autowired
    AccessInterceptor accessInterceptor;

    /**
     * SpringMVC框架回调addArgumentResolvers,然后给Controller的参数赋值
     * @param argumentResolvers
     */
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(userArgumentResolver);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(accessInterceptor);
    }
}

3.由于拦截器在参数解析器前执行,所以将参数解析器的代码逻辑剪切到拦截器里执行。拦截器把user对象获取后放到线程安全的ThreadLocal中,参数解析器只需要从ThreadLocal中获取即可。

HenkelQAQ
关注
专栏目录
【微服务】springboot 通用限流方案设计与实现
congge
06-24 8447
springboot限流方案总结
Java后台接口防裸奔的解决方案
03-19
Java后台接口防裸奔的解决方案,简单易懂,让你的接口不再裸奔
SpringBoot限流拦截器(结合业务)
LitongZero的博客
04-05 782
SpringBoot限流拦截器(结合业务) 背景 从网络安全和系统稳定性来看,限流是非常有必要的。 一些网关,可以帮我们完成限流熔断。但是,在某些场景,当与实际业务相结合时,网关的限流也就不那么方便了。 1.目的 1.解决业务和限流合并的情况。 如,同一个接口,每个用户,在一段时间(10秒)内只能请求几次(4次)。 2.并且可以快速的调整这个限制的频率(动态修改) SpringBoot Re...
springboot使用拦截器限制访问
aidy2008的专栏
09-20 2831
  1页面 2控制器 3拦截器 4配置 5效果
SpringBoot拦截器
最新发布
cool_tao6的博客
07-08 3150
拦截器是 Spring 框架提供的核心功能之一,主要用来拦截用户的请求,在指定的方法前后,根据业务需要执行预先设定的代码。也就是说,允许开发人员提前预定义一些逻辑,在用户的请求、响应前后执行。也可以在用户请求前阻止其执行。在拦截器当中,开发人员可以在应用程序中做一些通用性的操作,比如通过拦截器来拦截前端发来的请求,判断Session中是否有登录用户的信息,如果有 -> 就放行,如果没有 -> 就进行拦截。如图:这种情况就类似我们去银行办理业务,
SpringBoot + Redis 实现防刷限流
旷野历程
04-17 285
添加自定义AccessLimit注解,使用注解方式实现接口限流操作。使用 AccessLimit。
Sentinel(第一篇)_Springboot2.x+Sentinel
BugRoot的博客
05-08 4065
前言: Sentinel干嘛用的,我们先通过几个问题点,再通过这个几个问题点来看Sentinel是干嘛用的。 限流限流,字眼上的意思就是限制流量(请求数等),就是打个比方:一桶水最多装50毫升以每秒不超过10毫升,就不会溢出,假设瞬间你的水龙头滴水量超过了10毫升,那桶就会溢出,可能比较慢,但是如果一秒20毫升的水滴入,那很快就溢出了。可能一瞬间,也可能慢慢叠加。 在系统上如果你的系统最大支持1000/qps,那如果一秒只有1000的qps进来,那服务器能稳定运行,如果一秒2000/qps的进来,服务器
基于Springboot2.x的文件上传下载经典案例,文件上传下载+大文件断点续传、秒传+漂亮的前端页面
05-30
在本项目中,我们主要探讨的是如何利用Springboot 2.x框架实现文件的上传与下载功能,同时还涉及到了大文件的断点续传和秒传技术,以及一个美观的前端界面设计。这是一个全面且实用的文件管理系统,适用于各种需要...
springboot2.2.X手册:构建多元化的API接口,我们这样子设计
互联网应用架构
05-09 551
无规矩不成方圆,任何一个软件,如果刚开始没有定义好规范,任由各个开发进行按照自己的喜好进行开发,后面运维的兄弟,估计整天就要骂娘了。 开发一时爽,运维火葬场,运维一个软件,往往比开发一个软件要辛苦好多,毕竟很多时候,运维都要从不明白需求,不理解系统架构,不理解数据结构的0开始。 今天来做一个定义多业务的接口规范,考虑到每家企业的业务不一样,只提供参考。 目录 定义多业务接口 统一接口消息体 定义全局异常 构建拦截的信息体 整合swagger接口可视化 运行 ...
基于SpringBoot3.x+Mybatis-Plus开发的通用后台管理系统源代码+数据库,简单易用,快速上手
06-19
我也想做一个适用于大部分场景的快速开发框架,所以,沿用My系列的MyAdmin便诞生了 ...接口限制:停用、限流 通知公告:富文本编辑器 功能测试:测试邮件发送、短信发送、钉钉发送 表单构建:拖拽完成页面导出vue文件
SpringBoot之拦截器使用
小达哥的博客
07-14 120
1、利用自定义注解做权限、限流、IP黑名单 2、利用拦截器拦截IP黑名单 持续更新中。。。
springboot 自定义注解+拦截器+Redis实现ip限流
Black794的博客
02-09 775
自定义注解(具体频次可以根据具体使用场景调整)/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数RequestInterceptor拦截器/*** RequestInterceptor拦截器.
SpringBoot使用自定义注解+拦截器+Redis实现高并发接口限流
m0_62506538的博客
06-07 190
整体代码结构:就是一个简单的单体项目。
springboot接口限制访问次数
wuyongde0922的专栏
06-18 915
springboot 接口限制
自定义 AccessLimit 注解实现 Spring Boot 接口防刷
Sanchar
09-12 1981
技术要点:Spring Boot的基本知识 首先是写一个注解类: import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHO
springboot工程中限流方式
ldcaws的专栏
03-26 4370
限流,是防止用户恶意刷新接口。常见的限流方式有阿里开源的sentinel、redis等。 1、google的guava,令牌桶算法实现限流 Guava的 RateLimiter提供了令牌桶算法实现:平滑突发限流(SmoothBursty)和平滑预热限流(SmoothWarmingUp)实现。 // RateLimiter提供了两个工厂方法,最终会调用下面两个函数,生成RateLimiter的两个子类。 static RateLimiter create(SleepingStopwatch stopwatch
springmvc限流拦截器
valleychen1111的博客
09-20 6254
springmvc限流拦截器限流器算法目前常用限流器算法为两种:令牌桶算法和漏桶算法,主要区别在于:漏桶算法能够强行限制请求速率,平滑突发请求,而令牌桶算法在限定平均速率的情况下,允许一定量的突发请求 下面是从网上找到的两张算法图示,就很容易区分这两种算法的特性了 漏桶算法 令牌桶算法 针对接口来说,一般会允许处理一定量突发请求,只要求限制平均速率,所以令牌桶算法更加常见。 令牌桶算法工具R
架构:风控防刷策略。
孤芳不自赏
09-18 1885
基于用户画像大数据的电商防刷架构
互联网秒杀设计
Array7的专栏
06-13 4985
吕毅,百度公司资深研发工程师,传统的LAMP人。 2012年从新浪平台架构部加入百度移动服务事业群组(MSG)手机百度产品线。在百度期间,随着产品线发展和业务上QPS增长,架构设计方面略有所获,对移动端业务、优化有独特的理解和方法。 分享内容抢先看:本次分享介绍了手机百度对抢购业务的设计实实线,主要包含如下主题: 1. 抢购业务介绍 2. 具体抢购项目中的设计 2.1. 如何解耦
SpringBoot2.x使用Jsoup防范XSS攻击实战
"本文主要探讨了在SpringBoot 2.x应用程序中如何利用Jsoup库来防范XSS(跨站脚本攻击),通过示例代码详细解释了实施过程,并提供了相关安全准则。" 在Web开发中,XSS攻击是一种常见的安全威胁,它允许攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值