使用环绕增强注解解决防重复提交及防重放安全问题

最新推荐文章于 2024-09-09 23:00:12 发布
最新推荐文章于 2024-09-09 23:00:12 发布
阅读量1.4k 收藏
点赞数
分类专栏: 网站攻击 安全问题 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41749698/article/details/107106025
版权
使用环绕增强注解解决防重复提交及防重放安全问题
AvoidRepeatableCommit 注释类
import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AvoidRepeatableCommit {
}
AvoidRepeatableCommitAspect 环绕类

CacheStore 是hutool的缓存可以换成redis,SHA256也是使用hutool的内置加密方法

import java.util.Date;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import cn.com.sgcc.sgec.ksplatform.common.exception.KsException;
import cn.com.sgcc.sgec.ksplatform.security.util.CacheStore;
import cn.hutool.core.date.DateUnit;
import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import cn.hutool.crypto.digest.DigestAlgorithm;
import cn.hutool.crypto.digest.Digester;
import lombok.extern.slf4j.Slf4j;


/**
 * 防重复提交
 * @author Mr.Xiao
 *
 */
@Aspect
@Component
@Slf4j
public class AvoidRepeatableCommitAspect {

	@Autowired
	CacheStore cacheStore;
	
    /**
     * @param point
     * @throws Throwable 
     */
	@Around("@annotation(cn.com.aop.AvoidRepeatableCommit)")
    public Object around(ProceedingJoinPoint pjp) throws Throwable {
    	ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
    	HttpServletRequest request = attributes.getRequest();
    	//防重放规则1.0 (url防重放)
    	
    	String tid = "";
    	Cookie[] cookie = request.getCookies();
    	if(null != cookie) {
    		for(Cookie c : cookie) {
    			if(c.getName().equals("token")) {
    				tid = c.getValue();
        			break;
        		}
        	}
    	}
        
        
        String key = tid + "-" + request.getRequestURI();
        String value = cacheStore.getTokenUrlCache().get(key);
        if(StrUtil.isNotEmpty(value)) {
        	log.error("频繁操作{}",key);
        	throw new KsException("请勿频繁操作");
        }else {
        	cacheStore.getTokenUrlCache().put(key, "1",DateUnit.SECOND.getMillis()*3);
        }
        
    	//防重放规则2.0 (数据包防重放)
    	
    	String timestamp = request.getHeader("timestamp");
    	String nonce = request.getHeader("nonce");
    	String sign = request.getHeader("sign");
    	
    	if(StrUtil.hasBlank(timestamp,nonce,sign)) {
    		log.error("参数不完整{}",nonce);
        	throw new KsException("参数不完整");
    	}
    	
    	//大于10分钟的数据包失效不可用
    	long bmin = DateUtil.between(new Date(), new Date(Long.parseLong(timestamp)), DateUnit.MINUTE);
    	if(bmin > 10) {
    		log.error("数据包已失效{}",nonce);
			throw new KsException("数据包已失效");
    	}
    	
    	Digester sha256 = new Digester(DigestAlgorithm.SHA256);
    	String sign1 = sha256.digestHex(sha256.digestHex(nonce)+timestamp);
    	
    	//规则校验
    	if(!sign.equals(sign1)) {
    		log.error("篡改数据包非法提交{}",nonce);
        	throw new KsException("篡改数据包非法提交");
    	}
    	
    	
    	
    	value = cacheStore.getNonceCache().get(timestamp+nonce);
    	if(StrUtil.isNotEmpty(value)) {
    		log.error("重复提交{}",nonce);
        	throw new KsException("重复提交");
    	}
    	
    	Object o = pjp.proceed();
    	cacheStore.getNonceCache().put(timestamp+nonce, "1",DateUnit.MINUTE.getMillis()*11);
    	return o;
    }
	
}
注解的使用
  @PostMapping("operationAudit")
    @ApiOperation(value = "运营审核")
    @Secured(RolesConstant.AUDITOR) //审核员才有权限操作
    @AvoidRepeatableCommit  // todo
    public ItemResponse operationAudit(OnlineMeasureAuditDTO auditDTO) throws Exception {

        OnlineMeasure onlineMeasure = onlineMeasureService.getById(auditDTO.getId());

        if (onlineMeasure == null){
            return ItemResponse.fault("数据错误");
        }

        /**
         * 待审核 10 光伏云 驳回 30 运营才能审核
         */
        if ( ( !OnlineMeasureConstant.AUDIT_10.equals(onlineMeasure.getStatus())
                &&  !OnlineMeasureConstant.AUDIT_30.equals(onlineMeasure.getStatus()) )   ){
            return ItemResponse.fault("审核状态错误");
        }
 
     
        ItemResponse result = auditRecordService.onlineMeasureOperationAudit(auditDTO);
        return result;
    }
binglong180
关注
专栏目录
java重复提交解决方案
weixin_40751916的博客
07-03 2540
java开发重复提交问题问题描述解决思路代码解释 问题描述 1.在我们项目开发过程中会出现用户保存操作时候快速点击两次会出现一条数据在数据库保存多条数据。 2.遇见上述问题我们首先跟前端开发沟通,在前端开发过程中可以将操作按钮在操作完后就行置灰操作,虽然这样做了,但是不能从根们解决问题(前端和后端都止,这样就可以根本解决问题),然后需要后端进行提交接口进行重复提交处理。 解决思路 1.前端利用js操作或者vue操作进行按钮置灰,止二次点击! 2.java后端利用redis进行重复操作! 每次请求
一个注解解决页面重复提交
06-13
使用注解解决页面重复提交问题,不仅可以提高代码的可读性和维护性,还能减少对Session或Cookie的依赖,降低服务器资源消耗。结合自定义拦截器,我们可以创建一个健壮的防重提交系统,适应各种复杂的Web应用场景。...
javaweb开发防重提交
weixin_34319999的博客
09-03 222
2019独角兽企业重金招聘Python工程师标准>>> ...
java 防重提交
最新发布
qq_42320804的博客
09-09 1634
java 防重提交
自定义注解实现环绕增强—消息的发送
weixin_43343786的博客
02-15 545
需求:audit log,针对30多个接口,需要对操作者的行为做一定对记录 实现: 注解的定义 1.使用了两种元注解,很基础,作为使用过的人,应该要知道不仅只有这两种,也不仅只是这些参数 2.type是用于业务,后面则是很简单的参数,type总共有三种,分别对应了三种场景,auditlog,securityLog,invalid message 题外话—这也是金融系统的一个特点,安全性要求高,不仅...
java防重提交
chenxingde的博客
03-17 680
防重提交 简介: 客户端访问时,拦截访问数据,进行验证是否是配置的时间内(如下例子:ttl = 10),有相同的参数访问,如果有就相当于数据重复访问。不可以提交。 实例<一>: 后台代码 //防重提交,表示10秒之内的不允许有相同的ps数据,也就是说10秒之内不允许有相同的ps = {"req.mobile"} @RequestMapping("/request") @Recommit(ttl = 10, ps = {"req.mobile"}, type = 2)
#资源达人分享计划# SpringBoot自定义注解轻松解决防重提交问题,每一步代码都有详细注释!!拿来即用!!!
08-04
接口上面加上@NoRepeatSubmitAspect这个注解即可轻松完美解决重复提交问题,这个是Redis版本,性能最好,RedisUtils静态工具类也一并打包在内。如果项目不用redis,可以自行改成数据库查存校验!
Spring注解方式重复提交原理详解
08-26
Spring 注解方式重复提交原理是通过使用注解和拦截器来实现重复提交的。该方法可以止用户重复提交表单,以提高系统的安全性和可靠性。 2. 使用 Token 重复提交 使用 Token 重复提交是一种常用...
Spring MVC接口数据篡改和重复提交
08-25
Spring MVC框架中,数据篡改和重复提交是常见的安全问题,本文将详细介绍如何使用Spring MVC止数据篡改和重复提交。 一、自定义注解 在Spring MVC中,可以使用自定义注解来标记需要数据校验的方法或类。首先,...
自定义注解解决API接口幂等设计止表单重复提交(生成token存放到redis中)
07-28
为了解决这一问题,我们可以采用自定义注解结合Redis来实现一个止表单重复提交解决方案。 首先,让我们理解自定义注解的核心思想。注解是一种元数据,它提供了在代码中添加信息的方式,这些信息可以被编译器或...
java实现止表单重复提交
07-19
服务器端避免表单的重复提交,利用同步令牌来解决重复提交的基本原理如下:(1)用户访问提交数据的页面,服务器端在这次会话中,创建一个session对象,并产生一个令牌值,将这个令牌值作为隐藏输入域的值,随表单一起发送到客户端,同时将令牌值保存到session中(2)用户提交了页面,服务器端首先判断请求参数中的令牌值和session中的保存的令牌值是否相等,如果相等,则清除session中的令牌值,然后执行数据处理操作.如果不相等,则提示用户已经提交过表单,同时产生一个新的令牌值,保存到session中,当用户重新访问提交数据页面时(刷新页面),将新产生的令牌值作为隐藏输入域的值.
Java怎样重复提交
12-22
重复提交java解决   B/S结构的软件开发中,特别是在越大型的分布式应用中体现的越明显,后端的处理往往会因为出现较多的时间消耗而引起延迟,这种延迟有可能过长而终使用户认为是自己的操作错误,导致他们重新提交请求,由于任务的重复提交,服务器资源大部分被占用,情节严重可能出现类似死机现象。   预期达到目标:   1、当用户进行的是Refresh/Reload/Back/Forward操作、以及先Back再Submit操作时,仅仅是reloading先前的结果页。   2、当用户重复提交同一个任务操作时,后台服务接收并处理第一次提交的任务,后面提交不起作用(不转向也不提示)。
java避免表单重复提交_java 止表单重复提交
weixin_26963033的博客
03-02 177
止表单重复提交,或者是止按F5 刷新提交表单。在WEB开发中是经常会碰到这样的问题的。目前主流的解决方法有以下三种:1、采用脚本来解决2、重定向到别的页面3、使用s:token 标签由于我是使用S2SH来开发的,所以就选择了第三种方法。先简单的解释下 这个标签,就是为了止Struts2中表单重复提交的。他的实现类是org.apache.struts2.views.jsp.ui.TokenTa...
【Java】止表单重复提交
秃头不用洗发水的博客
06-07 373
在前端禁掉提交按钮   表单提交后,通过 JavaScript 将提交按钮设置为 disable。这种方法能够止用户重复提交。但是如果客户端把 JavaScript 禁止,这种方法就无效了。 使用Post-Redirct-Get模式   执行Post表单提交后,页面重定向到另一个提交成功页面,这能避免用户按F5导致的重复提交,而其也不会出现浏览器表单重复提交的警告,也能消除按浏览器前进和后退按导致的同样问题。 数据库使用唯一索引约束   通过对表单Id建立唯一索引,控制表单数据的插入。
面试官:你们项目中是怎么做防重提交的?
08-05 5146
面试经历 记得刚毕业的时候,有一次去参加面试。 上来面试官问我:“你们项目中是怎么做防重提交的?” 一开始听到这个问题是蒙圈的,支支吾吾半天没回答出来。 然后面试官直接来一道算法题,喜闻乐见地面试失败。 多年过去,虽然很少接触到控台应用,但是近期对于重复提交却有了一点自己的心得。 在这里分享给大家,希望你工作或者面试中遇到类似的问题时,对你有所帮助。 本文将从以下几个方面展开: (1)重复提交产生的原因 (2)什么是幂等性 (3)针对重复提交,前后端的解决方案 (4)如果实现一个防重提交工具 产生原
java 表单避免重复提交
08-05 1674
只有一个针对锁的获取:acquiretryAcquire传入信息。至于锁的释放,则交给实现者自己实现。首先,我们定义一个注解。/***//*** 缓存实现策略* @return 实现*/Class<?/*** key 生成策略* @return 生成策略*/Class<?/*** 密匙生成策略* @return 生成策略*/Class<?/*** 存活时间* 单位:秒* @return 时间*//*** 启用注解*/
JAVA止表单重复提交(SpringMVC,ICache)
张音乐的博客
03-05 476
一、抽取公共BaseController类 import java.io.IOException; import java.io.UnsupportedEncodingException; import java.util.Date; import java.util.Enumeration; import java.util.HashMap; import java.util.List;...
SpringBoot防重提交新方案:自定义注解实现
在本资源中,注解@NoRepeatSubmitAspect被用于接口上,以解决重复提交问题。 3. 防重提交问题:在Web应用中,防重提交是一个常见的需求。用户可能由于点击多次提交按钮或者使用刷新页面等方式造成对同一接口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值