通过redis防止短信恶意调用

最新推荐文章于 2024-09-07 15:45:45 发布
最新推荐文章于 2024-09-07 15:45:45 发布
阅读量122 收藏
点赞数 2
文章标签: redis java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43700767/article/details/140281816
版权

通过redis防止短信恶意调用

1.场景

登录或注册接口中,使用短信验证码场景时,遇到恶意调用短信接口,一毫秒多次调用,导致短信资源大幅度消耗。

2.排查

经排查发现,短信发送接口无限制,仅通过redis保留验证码发送信息。一个时间戳产生数次甚至十几次调用,多个线程同时访问redis后,取值相同,均通过验证前往调用短信接口。

3.解决方案

使用redis分布式锁,解决该问题。

相关代码如下:

3.1 redis锁实现

public class RedisLock {

    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    private static final Long NX = 1L; // 超时时间

    public boolean tryLock(String key, String value) {
		// 超时时间单位,这里发现,较新版本的RedisTemplate中,setIfAbsent方法时间单位为TimeUnit,并非大多帖子中表述的Long类型
        TimeUnit timeUnit = TimeUnit.MINUTES; 

        // 这里设置redis锁超时时间为1分钟
        Boolean result = redisTemplate.opsForValue().setIfAbsent(key, value, NX, timeUnit);
        return result != null && result;
    }

    // unlock方法未测试,请测试后再使用
    public void unlock(String key, String value) {
        String script = "if redis.call('get', KEYS[1]) == ARGV[1] then " +
                "return redis.call('del', KEYS[1]) " +
                "else " +
                "return 0 " +
                "end";
        redisTemplate.execute((RedisCallback<Boolean>) connection -> {
            Object nativeConnection = connection.getNativeConnection();
            if (nativeConnection instanceof Jedis) {
                return ((Jedis) nativeConnection).eval(script, Collections.singletonList(key), Collections.singletonList(value)).equals(1L);
            } else if (nativeConnection instanceof RedisClusterConnection) {
                return ((RedisClusterConnection) nativeConnection).eval(script.getBytes(), ReturnType.INTEGER, 1, key.getBytes(), value.getBytes()).equals(1L);
            }
            return false;
        });
    }
}

3.2 方法调用

	public boolean getVerfityCode(String mobile) {

        String smsCode = ShareCodeUtils.smsCode();

        // redis锁参数
        String lockKey = "sms_lock_" + mobile;
        String lockValue = UUID.randomUUID().toString();

        boolean send = false;

        try {
            if (redisLock.tryLock(lockKey, lockValue)) {
                // 获取锁成功,触发短信验证码功能(具体逻辑,此处因原登录逻辑需要redis支持,故保留)
                String s = redisUtils.get(RedisKeys.VERFITY_CODE + mobile);
                if (s != null) {
                    // 判断验证码是否过期
                    throw new ServiceException("验证码未过期,请勿重复获取");
                }
                // 发送验证码
                send = smsBaoUtil.sendSms(mobile, smsCode);
                if (send) {
                    // reids 中不存在 此电话对应验证码证明已经过了 verCodeTm 秒,则可以重新生成
                    redisUtils.set(RedisKeys.VERFITY_CODE + mobile, smsCode, verCodeTm);
        }
            }
        } catch (Exception e) {
            send = false;
        }
        // 很多帖子这里会增加finally解锁逻辑,这里为了保证1分钟内不会再触发短信恶意调用,取消解锁逻辑,由redis超时销毁后,自动解锁。
        return send;
    }
Gopfei
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java分布式IP限流和防止恶意IP攻击方案
胡峻峥的博客
03-29 1741
前言 限流是分布式系统设计中经常提到的概念,在某些要求不严格的场景下,使用Guava RateLimiter就可以满足。但是Guava RateLimiter只能应用于单进程,多进程间协同控制便无能为力。本文介绍一种简单的处理方式,用于分布式环境下接口调用频次管控。 如何防止恶意IP攻击某些暴露的接口呢(比如某些场景下短信验证码服务)?本文介绍一种本地缓存和分布式缓存集成方式判断远程IP是否为...
Redis复习总结
weixin_43739821的博客
08-06 910
基础 简介;与Memcached的区别;为什么作为mysql缓存? 如何保证Redis中都是热点数据 ? 线程模型?为什么单线程还那么快?I/O多路复用(epoll)? 除了做缓存还能拿来做什么? Redis是AP还是CP的? Redis的最佳实践 数据结构 9种数据类型及适用场景 底层数据结构 事务 如何实现redis原子性;除了lua还有办法么? 为什么Lua能保证原子性?执行失败会怎么样? 持久化 数据如何不丢失(RDB、AOF) Big Key相关 过期删除与内存淘汰 过期删除(过期key) 内存淘
Java后端防止获取短信验证码接口被恶意调用的代码实现
weixin_42023666的博客
04-30 6760
项目原来使用的短信验证码接口没有做安全校验,去网上查找了很多的解决方案,无非是在接口调用时添加图形验证码、单ip请求限制、限定每天每个号码获取短信验证码的次数、限制短信验证码的调用频率等。逛了一大圈,发现大家都只是信心满满的分享着一大堆逻辑和方法,至于具体的代码实现,就。。。大概大神们都觉得这东西没有什么技术含量吧。但是我觉得,所有的技术无论高低,业务不管复杂简单,都应该得到尊重,都...
springboot防止接口恶意调用多次
sskk1118的博客
12-31 3233
原理: 利用拦截器来实现,定义注解,在需要的方法上加上该注解,通过拦截器拦截这些注解的方法,当用户多次请求时,我们可以累积他的请求次数,请求次数存储到redis中,达到了上限,我们就可以给他提示信息。 总结:采用注解方式加拦截器,结合redis来存储请求次数,可以灵活配置同一用户在规定的时间内请求同一接口最大次数。 代码: 1、定义注解 import java.lang.annotation.Retention; import java.lang.annotation.Target; impor
短信接口被恶意盗刷
m0_70754056的博客
07-31 419
isRequestAllowed方法接收 IP 地址作为参数,通过incr方法增加对应 IP 的请求计数,如果是首次请求(计数为 1),则设置该键的过期时间为指定的时间窗口。3. 请求次数限制:利用redis的incrby实现计数,增加ip次数限制和总的请求次数限制,例如限制同一ip在指定时间段内(如5分钟)的请求次数上限,以及设置整个系统在特定时间段内(如5分钟)的总请求量阈值;7. 周期性修改接口:随着项目迭代升级,随机变更重点接口的请求地址,前后端同步更新,降低接口被长期攻击的风险。
node防止恶意短信次数
weixin_42082686的博客
10-27 1054
node防止恶意短信次数
详解Java分布式IP限流和防止恶意IP攻击方案
08-19
防止恶意IP攻击是非常重要的,最近就遇到了这么一种情况,我们的一个快应用产品,短信验证码服务被恶意调用了。通过后台的日志发现,IP固定,接口调用时间间隔固定,明显是被人利用了。 为了防止这种恶意攻击,本文...
前端源码及redis.zip
04-25
验证码发送功能的实现可能涉及了与服务器端的通信,例如通过Ajax调用发送短信或邮件验证码的API。 “验证码发送功能的实现”是现代Web应用中常见的安全措施,它用于验证用户身份,防止恶意注册或登录。通常,验证码...
spring整合redis
08-10
4. **限流与计数**: 使用Redis进行速率限制,防止恶意请求,或者统计页面访问量等。 通过这种方式,Spring MVC+Mybatis+Redis的整合能够构建出一个高可用、高性能的分布式应用系统,满足复杂业务场景的需求。在实际...
Redis 常用命令总结
weixin_73869209的博客
09-05 889
以上就是这篇博客的主要内容了,大家多多理解,下一篇博客见!
【苍穹外卖】Day 5 Redis、店铺营业状态接口
Yudiannann的博客
09-03 908
Redis是一个基于的 key-value 结构数据库运行在cmd下启动状态下,再测试:也可以在配置文件设置密码(4位密码不行)改为6位然后发现已经需要密码需要简化:安装管理客户端(但是需要先启动redis
Redis 实现原理或机制
最新发布
Flying_Fish_roe的博客
09-07 903
Redis 的高性能、高可用性和灵活性来自其精巧的实现原理和机制。通过高效的内存管理、灵活的数据结构、强大的持久化机制、主从复制和集群功能,Redis 能够满足各种复杂的应用场景需求。无论是在缓存、会话管理、还是分布式存储领域,Redis 都能够提供卓越的性能和稳定性。
基于 Redis 的分布式锁实现原理及步骤
weixin_62371118的博客
09-05 1047
实现分布式锁的目的是在分布式系统中,保证多个节点之间对共享资源的并发访问是互斥的。常用的分布式锁实现方式有以下几种:基于数据库、基于 Redis、基于 Zookeeper。下面详细介绍基于 Redis 的分布式锁实现原理及步骤。
Redis基本类型常用命令练习
安晴晚风的博客
09-04 1223
目录一、String类型1. 使用Redis的String命令,如何设置一个键为"username",值为"Tom"的键值对?2. 如何使用Redis的String命令获取键为"username"的值?3. 使用Redis的String命令,如何设置一个键为"age",值为23的键值对,然后让age+1。4. 如何使用Redis的String命令同时设置多个键值对,例如:“key1"的值为"value1”,“key2"的值为"value2”?5. 使用Redis的String命令,如何获取键为"userna
redis cluster
SO_zxn的博客
09-05 1235
redis cluster
Redis 集群高可用详解及配置
TYM121380的博客
09-04 1657
Redis是一个开源的、遵循BSD协议的、基于内存的而且目前比较流行的键值数据库(key-value database),是一个非关系型数据库Redis 提供将内存通过网络远程共享的一种服务,提供类似功能的还有memcached,但相比memcached,redis还提供了易扩展、高性能、具备数据持久性等功能。Redis 在高并发、低延迟环境要求比较高的环境使用量非常广泛。
初识redis(String,Hash,List,Set,SortedSet)
qq_63126439的博客
09-05 953
sql关系型数据库 nosql非关系型数据库nosql具有非结构化,Key/Value,Document,Draph无关联的,非sql,BASE(原子性,持久性,一致性,隔离性)
Redis两种类型分区
Flying_Fish_roe的博客
09-07 1032
水平分区,也称为Sharding,是最常见的 Redis 分区方法。这种分区方法的核心思想是将 Redis 的**键值对(key-value pairs)**按照一定的规则(例如哈希函数)分散到不同的 Redis 节点上。每个 Redis 实例保存数据集的一个子集,而不是整个数据集。通过这种方式,Redis 集群可以存储和管理更多数据,并且能够更好地处理高并发请求。垂直分区(Vertical Partitioning),又称为功能分区,是一种根据数据的不同功能或逻辑,将数据拆分到不同的 Redis 实例上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值