SpringBoot 防止接口恶意多次请求

最新推荐文章于 2024-03-10 09:20:45 发布
最新推荐文章于 2024-03-10 09:20:45 发布
阅读量6.3k 收藏 26
点赞数 1
分类专栏: Spring Boot 文章标签: 接口恶意访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42597706/article/details/103071032
版权

前言

刚写代码不就,还不能做深层次安全措施,今天研究了一下基本的防止接口多次恶意请求的方法。

思路

1:设置同一IP,一个时间段内允许访问的最大次数

2:记录所有IP单位时间内访问的次数

3:将所有被限制IP存到存储器

4:通过IP过滤访问请求

 

该demo只有后台Java代码,没有前端

 

代码

首先是获取IP的工具类

public class Ipsettings {

    public static String getRemoteHost(HttpServletRequest request) {
        String ipAddress = null;
        //ipAddress = request.getRemoteAddr();   
        ipAddress = request.getHeader("x-forwarded-for");
        if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
            ipAddress = request.getHeader("Proxy-Client-IP");
        }
        if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
            ipAddress = request.getHeader("WL-Proxy-Client-IP");
        }
        if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
            ipAddress = request.getRemoteAddr();
            if(ipAddress.equals("127.0.0.1")){
                //根据网卡取本机配置的IP   
                InetAddress inet=null;
                try {
                    inet = InetAddress.getLocalHost();
                } catch (UnknownHostException e) {
                    e.printStackTrace();
                }
                ipAddress= inet.getHostAddress();
            }

        }

        //对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割   
        if(ipAddress!=null && ipAddress.length()>15){ //"***.***.***.***".length() = 15   
            if(ipAddress.indexOf(",")>0){
                ipAddress = ipAddress.substring(0,ipAddress.indexOf(","));
            }
        }
        return ipAddress; 
    }
}

其次是监听器以及IP存储器

import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletContext;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import javax.servlet.annotation.WebListener;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
@WebListener
public class MyApplicationListener implements ServletContextListener {
    private Logger logger =  LoggerFactory.getLogger(MyApplicationListener.class);
    @Override
    public void contextInitialized(ServletContextEvent sce) {
        logger.info("liting: contextInitialized");
        System.err.println("初始化成功");
        ServletContext context = sce.getServletContext();
        // IP存储器
        Map<String, Long[]> ipMap = new HashMap<String, Long[]>();
        context.setAttribute("ipMap", ipMap);
        // 限制IP存储器:存储被限制的IP信息
        Map<String, Long> limitedIpMap = new HashMap<String, Long>();
        context.setAttribute("limitedIpMap", limitedIpMap);
        logger.info("ipmap:"+ipMap.toString()+";limitedIpMap:"+limitedIpMap.toString()+"初始化成功。。。。。");
    }

    @Override
    public void contextDestroyed(ServletContextEvent sce) {
        // TODO Auto-generated method stub

    }
}

最后是具体规则设置

import java.io.IOException;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebFilter(urlPatterns="/*")
public class IpFilter implements Filter{

    /**
     * 默认限制时间(单位:ms)
     */
    private static final long LIMITED_TIME_MILLIS = 5 * 2 * 1000;

    /**
     * 用户连续访问最高阀值,超过该值则认定为恶意操作的IP,进行限制
     */
    private static final int LIMIT_NUMBER = 2;

    /**
     * 用户访问最小安全时间,在该时间内如果访问次数大于阀值,则记录为恶意IP,否则视为正常访问
     */
    private static final int MIN_SAFE_TIME = 5000;
    private FilterConfig config;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.config = filterConfig;    //设置属性filterConfig
    }

    /* (non-Javadoc)
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
     */
    @SuppressWarnings("unchecked")
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        ServletContext context = config.getServletContext();
        // 获取限制IP存储器:存储被限制的IP信息
        Map<String, Long> limitedIpMap = (Map<String, Long>) context.getAttribute("limitedIpMap");
        // 过滤受限的IP
        filterLimitedIpMap(limitedIpMap);
        // 获取用户IP
        String ip = Ipsettings.getRemoteHost(request);
        System.err.println("ip:"+ip);
        //以下是处理限制IP的规则,可以自己写
        // 判断是否是被限制的IP,如果是则跳到异常页面
        if (isLimitedIP(limitedIpMap, ip)) {
            long limitedTime = limitedIpMap.get(ip) - System.currentTimeMillis();
            // 剩余限制时间(用为从毫秒到秒转化的一定会存在些许误差,但基本可以忽略不计)
            request.setAttribute("remainingTime", ((limitedTime / 1000) + (limitedTime % 1000 > 0 ? 1 : 0)));
            //request.getRequestDispatcher("/error/overLimitIP").forward(request, response);
            System.err.println("ip访问过于频繁:"+ip);
          
            return;
        }
        // 获取IP存储器
        Map<String, Long[]> ipMap = (Map<String, Long[]>) context.getAttribute("ipMap");
        // 判断存储器中是否存在当前IP,如果没有则为初次访问,初始化该ip
        // 如果存在当前ip,则验证当前ip的访问次数
        // 如果大于限制阀值,判断达到阀值的时间,如果不大于[用户访问最小安全时间]则视为恶意访问,跳转到异常页面
        if (ipMap.containsKey(ip)) {
            Long[] ipInfo = ipMap.get(ip);
            ipInfo[0] = ipInfo[0] + 1;
            System.out.println("当前第[" + (ipInfo[0]) + "]次访问");
            if (ipInfo[0] > LIMIT_NUMBER) {
                Long ipAccessTime = ipInfo[1];
                Long currentTimeMillis = System.currentTimeMillis();
                if (currentTimeMillis - ipAccessTime <= MIN_SAFE_TIME) {
                    limitedIpMap.put(ip, currentTimeMillis + LIMITED_TIME_MILLIS);
                    request.setAttribute("remainingTime", LIMITED_TIME_MILLIS);
                    System.err.println("ip访问过于频繁:"+ip);
                    request.getRequestDispatcher("/error/overLimitIP").forward(request, response);
                    return;
                } else {
                    initIpVisitsNumber(ipMap, ip);
                }
            }
        } else {
            initIpVisitsNumber(ipMap, ip);
            System.out.println("您首次访问该网站");
        }
        context.setAttribute("ipMap", ipMap);
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub
    }

    /**
     * @Description 过滤受限的IP,剔除已经到期的限制IP
     * @param limitedIpMap
     */
    private void filterLimitedIpMap(Map<String, Long> limitedIpMap) {
        if (limitedIpMap == null) {
            return;
        }
        Set<String> keys = limitedIpMap.keySet();
        Iterator<String> keyIt = keys.iterator();
        long currentTimeMillis = System.currentTimeMillis();
        while (keyIt.hasNext()) {
            long expireTimeMillis = limitedIpMap.get(keyIt.next());
            if (expireTimeMillis <= currentTimeMillis) {
                keyIt.remove();
            }
        }
    }

    /**
     * @Description 是否是被限制的IP
     * @param limitedIpMap
     * @param ip
     * @return true : 被限制 | false : 正常
     */
    private boolean isLimitedIP(Map<String, Long> limitedIpMap, String ip) {
        if (limitedIpMap == null || ip == null) {
            // 没有被限制
            return false;
        }
        Set<String> keys = limitedIpMap.keySet();
        Iterator<String> keyIt = keys.iterator();
        while (keyIt.hasNext()) {
            String key = keyIt.next();
            if (key.equals(ip)) {
                // 被限制的IP
                return true;
            }
        }
        return false;
    }

    /**
     * 初始化用户访问次数和访问时间
     *
     * @param ipMap
     * @param ip
     */
    private void initIpVisitsNumber(Map<String, Long[]> ipMap, String ip) {
        Long[] ipInfo = new Long[2];
        ipInfo[0] = 0L;// 访问次数
        ipInfo[1] = System.currentTimeMillis();// 初次访问时间
        ipMap.put(ip, ipInfo);
    }

}

然后再在启动类上加上注解扫描配置包

@ServletComponentScan(basePackages="扫描刚才的MyApplicationListener")

 

洛幻宸
关注
  • 1
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot基于redis防止接口恶意刷新和暴力请求
01-17
资源相关博客:https://blog.csdn.net/u013938578/article/details/128717396
如何防止前端重复请求,导致同一秒出现相同的数据呢???教你最简单快速的办法解决~~
每天进步一点点
08-01 2205
在日常的开发中,前端请求后端的接口都是正常的操作,但有时往往,前端请求的时候,后端还在处理数据中,可能就有点延迟了一两秒,导致不能实时反馈数据到前端, 用户并不知道这种情况就不断的点击请求,最终出现同一秒同时进了相同的数据,就导致数据错乱了,怎么解决呢??? 来来来,今天煌哥教你怎么快速解决~~~ 其实啊,解决的办法有很多,但想要最简单有效的办法,就是在前端进行处理,今天就使用vue举个例子吧,三步搞定! 步骤一: 首先在data中定义相应的变量 步骤二: 在按钮中使用步骤一.
SpringBoot轻松搞定接口防抖(防重复提交)
最新发布
人生若只初相见@的博客
03-10 8278
大家好,是否遇到过接口重复提交的问题?面试的时候有没有被问到过有哪些接口重复提交的解决方案?今天就简单分享一种解决方案,欢迎点赞收藏评论
接口测试笔记一
m0_47191754的博客
08-04 129
一,接口 接口含义:传递信息的通道 接口测试:是对系统组件之间的接口进行测试,一般在集成测试阶段进行,属于灰盒测试。 测试接口的原因:1.前端开发一般晚于后端开发,所以提前进入测试,使用工具模拟前端,对接口进行调用。2.防止恶意绕过前端,对后台发送一些异常的数据,所以要测试接口是否有处理这些异常的能力。 接口分类:1.同一个系统的模块之间的接口/前端与后端之间的接口为内部接口。2.跨系统平台之间的对接接口外部接口/第三方接口。测试时关注业务流畅和数据互通。 二,HTTP协议(无连接的协议...
后端怎么防止重复提交?(常用的做法)
当幸福来敲门的专栏
03-08 3049
后端怎么防止重复提交?(常用的做法) 客户端的抖动,快速操作,网络通信或者服务器响应慢,造成服务器重复处理。防止重复提交,除了从前端控制,后台也需要控制。因为前端的限制不能解决彻底。接口实现,通常要求幂等性,保证多次重复提交只有一次有效。对于更新操作,达到幂等性很难。 常用后端防止重复提交方案 token 访问请求到达服务器,服务器端生成token,分别保存在客户端和服务器。提交请求到达服务器,服务器端校验客户端带来的token与此时保存在服务器的token是否一致,如果一致,就继续操作,删除服务器的
公司的API接口被刷了,那是因为你没这样做!
勇往直前的专栏
12-18 724
作者:海向来源:cnblogs.com/haixiang/p/12012728.html api限流的场景 限流的需求出现在许多常见的场景中 1.秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动 2.某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流 3.淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实...
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
SpringBoot实现接口数据的加解密功能
08-25
主要介绍了SpringBoot实现接口数据的加解密功能,对接口的加密解密操作主要有两种实现方式,文中给大家详细介绍,需要的朋友可以参考下
SpringBoot设置接口超时时间的方法
08-25
主要介绍了SpringBoot设置接口超时时间的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot如何使用AOP做访问请求日志
08-25
主要介绍了springboot如何使用AOP做访问请求日志,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
@AccessLimit接口限流
qq_56769991的博客
04-01 2220
当我们需要对后端的某些接口进行限流(其实防止一些请求在一定时间内进行多次访问,比如防止用户1秒内多次进行评论、防止多次重复登录等操作,这时我们就需要对该接口进行限流) 当然限流操作还有一些场景: 秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。 总的就是说防止同一用户对单个接口进行重复调用,这里我们
用缓存拦截接口频繁的请求
datouniao1的博客
09-26 1121
需求:有的时候我们提供给别人接口,但是一般客户并不知道接口的频繁的调用会给服务器带来很大的运行消耗,所以会有频繁请求接口的情况,甚至两次请求的时间间隔都不超过1秒钟,这个时候我们针对同一个用户频繁的请求接口可以进行拦截来告诉用户请求接口过于频繁请稍后请求.... 实现上面的需求,我们可能会想到利用缓存的机制 比如用户这次请求,我们存入到缓存中,并且设置一定的保存时间,在这段时间内,如果该用户再...
springboot项目中接口防止恶意请求多次,重复请求的解决办法,适合小白
weixin_40918145的博客
09-22 1万+
springboot项目中接口防止恶意请求多次 在项目中,接口的暴露在外面,很多人就会恶意多次快速请求,那我们开发的接口和服务器在这样的频率下的话,服务器和数据库很快会奔溃的,那我们该怎么防止接口防刷呢?由于博主小白,很多都不懂,都是从网上一点一点的找资料最后成功的。 解决方案:采用注解方式 其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提...
前后端数据对接防止接口恶意调用
热门推荐
偶尔一节
04-19 2万+
最近做了个不大点的微信活动,上线之后,出现了无穷尽的微信刷子,这些刷子的openid都不一样,昵称也格式相似,通过记录IP发现,IP都是相同的,一个IP有上千个微信用户,我很是费解,不知道现在是不是有什么黑科技可以伪造这点了;我先说下我的流程 1,用户授权,session记录用户openid 2,用户参加活动,完成活动一系列指定操作,完成活动,将用户信息录入数据库 3,用户完成活动,分享朋友
绕过前端,直接调用后端接口的可能性
weixin_33882443的博客
11-14 1183
换而言之,怎么才能避免暴露自己的后端接口,不暴露,可以做到吗? 如果后端接口被抓包到,怎样才能防止别人恶意地随便地进行调用? 1. 入参中加入签名字段,进行控制,签名可以是入参中若干个字段的组合加上一个key值,在进行加密,签名规则只给paetner方,其他人不知道 2. UI端随机生成码,有request时候将此码带到后端去,进行验证,此码只能用一次(Session) 3. ...
前后端API接口安全问题,防止抓包恶意请求
songziqi_的博客
09-17 3956
API接口恶意请求问题 抓包
防止接口恶意刷新和暴力请求
Che_yibuhe_yibu的博客
06-06 1014
防止接口恶意刷新和暴力请求
接口防止恶意调用的安全策略
qq_24516549的博客
03-29 2250
1.背景 需要做一个微信分享的后端支持接口,请求响应中包含appid,为了避免对外暴露配置相应的安全策略 2.步骤 限制请求域名 在后端cors过滤器中添加指定的域名作为allowedOrigins的值,非此域名无法访问接口\ @Configuration public class CorsConfig implements WebMvcConfigurer { @Override ...
springboot如何防止接口被多台服务器重复调用
02-17
Spring Boot 可以通过不同的方式来防止接口被多台服务器重复调用。下面介绍两种常用的方法: 1. 使用分布式锁 可以使用分布式锁来控制接口的并发调用。当一个服务器正在处理接口请求时,其他服务器会被锁定,直到锁释放才能继续调用。常用的分布式锁实现有 Redis 分布式锁和 ZooKeeper 分布式锁等。 2. 使用限流器 限流器可以控制接口访问速率,防止被多台服务器同时调用。常用的限流器实现有 Guava RateLimiter 和 Redis Rate Limiter 等。 需要注意的是,以上两种方式都需要对应用程序做相应的改造和配置,才能够实现有效的防止接口被多台服务器重复调用。同时,分布式锁和限流器的实现也有一定的复杂性和性能开销,需要根据具体场景进行权衡和选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值