秒杀系统 安全优化 秒杀接口地址隐藏

最新推荐文章于 2023-04-28 14:28:59 发布
最新推荐文章于 2023-04-28 14:28:59 发布
阅读量2.2k 收藏 12
点赞数 11
分类专栏: 商城秒杀实战 文章标签: java js ajax python vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41620020/article/details/105942443
版权

秒杀接口地址隐藏

每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。)

实现思路:

在进行秒杀之前,去后端获取一个动态的秒杀地址path(服务端生成随机数作为path),在然后将这个随机数返回给前端,前端用这个path拼接在新的请求url(url : “/miaosha/” + path + “/do_miaosha”)上作为参数,再去发请求到后台开始我们的秒杀

改造前端秒杀按钮,在发起请求之前,先去获取秒杀地址:

<button class="btn btn-primary" type="button" id="buyButton" onclick="getMiaoshaPath()">立即秒杀</button>

发起请求/miaosha/getPath去后端获取一个动态的秒杀地址path,然后前端在用这个path拼接在url(url : “/miaosha/” + path + “/do_miaosha”)上作为参数,再去发请求到后台开始我们的秒杀

getMiaoshaPath和doMiaosha(path)代码:

//获取秒杀地址
function getMiaoshaPath() {
	var goodsId = $("#goodsId").val();
	$.ajax({
		url : "/miaosha/getPath",
		type : "GET",
		data : {
			goodsId : goodsId,
			//vertifyCode:$("#vertifyCode").val()
		},
		success : function(data) {
			if (data.code == 0) {
				//获取秒杀地址
				var path = data.data;
				//拿到path之后,才去做我的秒杀逻辑,并且在方法传入秒杀地址
				doMiaosha(path);
			} else {
				layer.msg(data.msg);
			}
		},
		error : function() {
			layer.msg("请求有误!");
		}
	});
}
function doMiaosha(path) {
	//alert(path);
	$.ajax({
		url : "/miaosha/" + path + "/do_miaosha",
		type : "POST",
		data : {
			goodsId : $("#goodsId").val()				
		},
		success : function(data) {
			if (data.code == 0) {
				getMiaoshaResult($("#goodsId").val());
			} else {
				layer.msg(data.msg);
			}
		},
		error : function() {
			layer.msg("请求有误!");
		}
	});
}

服务端生成随机数作为path,并且存入缓存(设置缓存过期时间60s),然后将这个随机数返回给前端

/**
 * 获取秒杀的path,并且验证验证码的值是否正确
 */	
@RequestMapping(value ="/getPath")
@ResponseBody
public Result<String> getMiaoshaPath(HttpServletRequest request,Model model,MiaoshaUser user,
		@RequestParam("goodsId") Long goodsId,
		@RequestParam(value="vertifyCode",defaultValue="0") int vertifyCode) {
	model.addAttribute("user", user);
	//如果用户为空,则返回至登录页面
	if(user==null){
		return Result.error(CodeMsg.SESSION_ERROR);
	}				
	//生成一个随机串
	String path=miaoshaService.createMiaoshaPath(user,goodsId);		
	return Result.success(path); 
}

注意:写入缓存,是后端接收到这个请求秒杀地址path参数,并且与缓存中的存的path比较,如果一致,进行秒杀逻辑,否则,非法请求。

createMiaoshaPath方法:

/**
 * 生成一个秒杀path,写入缓存,并且,返回至前台
 */
public String createMiaoshaPath(MiaoshaUser user, Long goodsId) {
	String str=MD5Util.md5(UUIDUtil.uuid()+"123456");
	//将随机串保存在客户端,并且返回至客户端。
	//String path=""+user.getId()+"_"+goodsId;
	redisService.set(MiaoshaKey.getMiaoshaPath, ""+user.getId()+"_"+goodsId, str);
	return str;
}

加上了秒杀接口地址隐藏之后可以防止恶意用户登陆之后,通过不断调用秒杀地址接口,骚扰服务器,所以使用动态获取秒杀地址,只有真正点击秒杀按钮,才会根据用户id和商品goodsId生成对应的秒杀接口地址。

但是,这种情况仍然不能解决利用机器人频繁点击按钮的操作,为了降低点击按钮的次数,以及高并发下,防止多个用户在同一时间内,并发出大量请求,加入数学公式图形验证码以及接口防刷等优化技术。

长勺
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Java开发商品秒杀+限流+限时抢购+隐藏接口源码.zip
06-02
Java开发商品秒杀+限流+限时抢购+隐藏接口源码。适用于高并发场景下商品秒杀,包含内容商品超卖问题、接口访问限流问题、Redis限时抢购、隐藏秒杀接口、单用户限制访问频率!为什么使用秒杀】 严格防止超卖 库存100件 你卖了120件 等着辞职吧! 防止黑客 假如我们网站想下发优惠给群众,但是被黑客利用技术将下发给群众的利益收入囊中 保证用户体验 高并发场景下,网页不能打不开、订单不能支付 要保证网站的使用 搭建数据库 create database stockdb; use stockdb; # 用户 create table `user`( uid int primary key auto_increment, uname varchar(100), upwd varchar(50) ); # 商品 create table stock( id int primary key auto_increment, `name` varchar(50), `count` int, #库存数量 sale int, #已售 `version` int #版本号(乐观
html隐藏后端接口,HTML直接调用REST后台
weixin_29535577的博客
06-03 601
REST作为Web服务已经越来越走向主流,SOAP大概只能用在更为复杂的场景,在技术上有些过于复杂,相反REST更容易设置。但是REST需要客户端一些特别代码,在RIA架构中运用比较多,这样使得RIA更象浏览器,但是因为浏览器兼容问题,浏览器本身不能对REST后台直接操作还有些问题,这也使得现在MVC框架继续流行使用的原因。现在普通浏览器支持的是Html4,而Html 4中对 FORM 的meth...
前端代码中如何避免暴露后端接口
Zhooson的博客
04-16 7021
在日常开发中,后端同事会给前端一个地址,这个地址我们不想暴露出来,具体操作该怎么做? 这里已vue3 的项目为例子。react 原理是一样的 第一步前端配置 .env.production文件 VUE_APP_NODE_ENV = "'production'" # base api VUE_APP_BASE_API = '/' // 这里这单纯的设置为/, 这样程序自动获取前端的host 解释: 前端的访问地址为: http://www.hhhh.com, 接口地址:http://api.hhh
vue知识整理 - Vue配置proxy指定api请求地址(隐藏真实api请求地址)
weixin_69518525的博客
04-28 1746
proxy指定api请求地址
android在封装SDK时,如何隐藏请求服务器的url地址
u011050129的博客
02-28 930
项目要求封装成SDK供第三方使用,我们打包成了aar包,但是其中有很多和服务器交互的url地址希望能够隐藏,该怎么实现
安全优化--秒杀接口地址隐藏
weixin_38035852的博客
07-24 5118
秒杀接口地址隐藏:每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。 思路: 1.在进行秒杀之前,先请求一个服务端地址,/getmiaoshaPath 这个地址,用来获取秒杀地址,传参为 商品id,在服务端生成随机数(MD5)作...
隐藏秒杀接口地址
阳某的博客
01-06 2362
隐藏秒杀地址 隐藏秒杀接口地址后,确保秒杀开始前没有人知道地址。http是明文传输的,访问的url,参数都可见,若不做隐藏,恶意用户可以在秒杀活动开始前就访问秒杀接口地址秒杀项目完整代码地址:https://github.com/yang-mou/miaosha.git 思路: 1、第一次请求后台先验证用户是否登录和验证码是否正确,生成随机地址存入redis并且返回 2、带着地址请求后台,后...
秒杀接口隐藏策略
pol56815156的博客
01-10 184
秒杀开始后,点击秒杀按钮不是直接进行秒杀,而是获取秒杀接口地址。每个人有专属秒杀地址,一定程度上防止了简单的脚本。
秒杀技术的实现以及相应防作弊策略介绍
lee_123456_lee的专栏
09-11 6258
一、前言 最近涉及到了秒杀这一块的需求,然后就详细了解了一下秒杀的策略。 二、介绍 1. 秒杀,通俗的说就是在一个特定的时间点,有一定数量的商品,大家都来抢,拼的是速度,拼的就是键盘手。下面就从我自己的角度整体描述一下秒杀的过程。 整体分为3层,ui层、service层、DB层; 1.1 ui层最为和用户直接交互层,分为API和MIS,API是秒杀接口,MIS为秒杀活动详细信息
秒杀类业务系统平台优化方案
06-21
秒杀类业务系统平台优化方案
秒杀系统架构优化思路
09-26
详细列举了秒杀系统的架构,包括浏览器端,站点层,服务层,数据层,接入层,缓存,详细研究了秒杀系统优化方向和各个方向的优化细节
秒杀系统代码 java秒杀系统代码
最新发布
03-14
秒杀-秒杀系统-秒杀系统源码-秒杀管理系统-秒杀管理系统java代码-秒杀系统设计与实现-基于springboot的秒杀系统-基于Web的秒杀系统设计与实现-秒杀网站-秒杀网站代码-秒杀平台-秒杀平台代码-秒杀项目-秒杀项目代码-...
秒杀系统 高并发秒杀系统接口优化 RabbitMQ异步下单
了凡
05-08 1700
针对秒杀的业务场景,在大并发下,仅仅依靠页面缓存、对象缓存或者页面静态化等还是远远不够。数据库压力还是很大,所以需要异步下单,如果业务执行时间比较长,那么异步是最好的解决办法,但会带来一些额外的程序上的复杂性。 思路: 系统初始化,把商品库存数量stock加载到Re...
秒杀系统 高并发秒杀接口优化
了凡
05-08 1310
高并发秒杀接口优化 接口优化(核心思路:减少对数据库的访问) Redis预减库存减少对数据库的访问 内存标记减少Redis的访问 请求先入队缓冲,异步下单,增强用户体验 RabbitMQ安装与SpringBoot的集成(目的:同步下单改成异步下单) Nginx水平拓展 压测 项目迭代是一个优化和调整的过程,发现问题解决问题,不断优化秒杀业务场景,并发量很大,瓶颈在数据库,怎么解决,加缓存。用户发起请求时,从浏览器开始,在浏览器上做页面静态化直接将页面缓存到用户的浏览器端,然后请求到达网站之前可以部
秒杀系统 秒杀功能实现
了凡
05-07 1268
先去设置数据库里面的秒杀时间 假设当前时间是2019-05-28 19:30:12 1.已经开始 2.秒杀结束 3.秒杀倒计时 所以我们去秒杀第一个商品: 在之前的goods_detail.html里面的秒杀按钮点击之后提交/miaosha/do_miaosha,以POST类型提交,带有数据是秒杀商品的goo...
秒杀系统 安全优化 数学公式验证码
了凡
05-08 1226
秒杀接口地址隐藏可以防止恶意用户通过频繁调用接口来请求的操作,但是无法防止机器人,刷票软件恶意频繁点击按钮来刷请求秒杀地址接口的操作。 高并发下场景,在刚刚开始秒杀的那一瞬间,迎来的并发量是最大的,减少同一时间点的并发量,将并发量分流也是一种减少数据库以及系统压力的措施(使得1s中来10万次请求过渡为10s中来...
秒杀系统 页面优化技术 商品详情页面静态化(前后端分离)
了凡
05-08 1195
页面静态化+前后端分离 常用技术AngularJSVue.js 优点:利用浏览器的缓存 本文只是简单的实现页面静态化: 将页面直接缓存到用户的浏览器上面,好处:用户访问数据的时候,不用去请求服务器,直接在本地缓存中取得需要的页面缓存。 未作页面静态化:请求某一个页面,访问缓存,查看缓存中是否有,缓存中有直接...
秒杀商城系统 商品详情页 秒杀倒计时功能实现 (十一)
了凡
05-07 1156
在上一节中,我们已经实现秒杀商品的列表页的显示,其中可以点击每一个商品的【详情】查看具体的秒杀信息,那么我们这一节就来实现商品的详情页面的显示以及秒杀倒计时功能实现。【详情】链接中有{goodsId}作为参数,后端@PathVariable(“goodsId”)long goodsId拿到这个goodsId,然...
聚焦java性能优化 打造亿级流量秒杀系统
03-16
聚焦Java性能优化,打造亿级流量秒杀系统,需要从以下几个方面入手: 1. 硬件优化:选择高性能的服务器、存储设备和网络设备,以及合理的负载均衡策略,保证系统的稳定性和可靠性。 2. JVM优化:调整JVM的参数,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值