接口安全----接口防刷(拦截器)

最新推荐文章于 2024-06-19 18:24:08 发布
最新推荐文章于 2024-06-19 18:24:08 发布
阅读量1.1k 收藏 2
点赞数
文章标签: 安全 java
原文链接:https://blog.csdn.net/weixin_51764982/article/details/122601236
版权

私有:需要企业内部资源共享 内部接口

公有:短信平台,天气预报。。。。
接口安全要求:

1、防伪装攻击
 
处理方式:接口防刷
 
出现情况:公共网络环境中,第三方有意或者恶意调用我们的接口
 
2、防篡改攻击
 
处理方式:签名机制
 
出现情况:请求头/查询字符串/内容 在传输中来修改其内容
 
3、防重放攻击
 
处理方式:接口时效性
 
出现情况:请求被截获,稍后被重放或多次重放
 
4、防数据信息泄露
 
处理方式:接口加密(对称加解密)
 
出现情况:截获用户登录请求,主要是截获账号密码

防刷逻辑分析
需求:接口防刷

核心:服务器无法知道请求是正常的还是攻击性的

解决:设置接口访问的频率(单位时间内访问次数)
核心技术点:
在这里插入图片描述
可以采用:过滤器/拦截器 ------> 拦截所有接口,对所有暴露的接口作防刷操作

 
/**
思路:
1、设计Redis Key 临时 有效期1分钟 允许10次
KEY: URL:IP    --->     拼接的key   
value:用户访问次数
2、设置拦截器,拦截需要访问的接口URL
3:拦截逻辑
        3.1>拦截url,拼接key查询redis中是否存在
        3.2>如果不存在    url:ip 10     redist操作关键字:setnx 
        3.3>如果存在      url:ip                         derc 
        3.4>如果次数减到0,拦截返回:请勿频繁访问 拓展:加载入黑名单
        3.5>其他情况直接放行。
*/

接口:

/*
安全防护接口
 */
public interface ISecurityRedisService {
    boolean isAllowBrush(String key);
}

实现类:

@Service
public class SecurityRedisServiceImpl implements ISecurityRedisService {
 
    @Autowired
    private StringRedisTemplate template;
 
    @Override
    public boolean isAllowBrush(String key) {
        //等价于setnx
        template.opsForValue().setIfAbsent(key, "10", RedisKeys.BRUSH_PROOF.getTime(), TimeUnit.SECONDS);
 
        Long decrement = template.opsForValue().decrement(key);
 
        return decrement >= 0;
    }
}

启动配置类:

 
@Configuration
public class WebConfig implements WebMvcConfigurer{
    
 
   //防刷拦截
    @Bean
    public BrushProofInterceptor brushProofInterceptor(){
        return new BrushProofInterceptor();
    }
     
    //拦截器的注册-------------------------------------
    @Bean
    public CheckLoginInterceptor checkLoginInterceptor(){
        return new CheckLoginInterceptor();
    }
    //配置拦截的规则
 
 
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(checkLoginInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/swagger-ui.html");//哪些拦截
                //放行资源
//                .excludePathPatterns("/users/checkPhone")
//                .excludePathPatterns("/users/sendVerifyCode")
//                .excludePathPatterns("/users/login")
//                .excludePathPatterns("/users/regist");
        
        registry.addInterceptor(brushProofInterceptor()).addPathPatterns("/**");
    }
}

工具类:

 
/*
    请求工具类,获取信息
 */
public class RequestUtil {
    public static String getIPAddress() {
 
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
 
        String ip = null;
 
        //X-Forwarded-For:Squid 服务代理
        String ipAddresses = request.getHeader("X-Forwarded-For");
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //Proxy-Client-IP:apache 服务代理
            ipAddresses = request.getHeader("Proxy-Client-IP");
        }
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //WL-Proxy-Client-IP:weblogic 服务代理
            ipAddresses = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //HTTP_CLIENT_IP:有些代理服务器
            ipAddresses = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //X-Real-IP:nginx服务代理
            ipAddresses = request.getHeader("X-Real-IP");
        }
 
        //有些网络通过多层代理,那么获取到的ip就会有多个,一般都是通过逗号(,)分割开来,并且第一个ip为客户端的真实IP
        if (ipAddresses != null && ipAddresses.length() != 0) {
            ip = ipAddresses.split(",")[0];
        }
 
        //还是不能获取到,最后再通过request.getRemoteAddr();获取
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            ip = request.getRemoteAddr();
        }
        return ip;
    }
}

RedisKey:
定义常量,拼接Key

public enum RedisKeys {
    //API接口防刷
    BRUSH_PROOF("brush_proof",-1L);
 
    private String prefix; //key的前缀
 
    private Long time; //约定的时效 单位秒
 
    private RedisKeys(String prefix, Long time) {
        this.prefix = prefix;
        this.time = time;
    }
 
 
    public String join(String... values){
        StringBuilder sb = new StringBuilder(80);
        sb.append(this.prefix);
        for (String value : values) {
            sb.append(":").append(value);
        }
        return sb.toString();
    }
}

拦截器:

 
/*
防刷拦截
 */
public class BrushProofInterceptor implements HandlerInterceptor {
 
    @Autowired
    private ISecurityRedisService securityRedisService;
 
 
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
 
        //请求接口URL     Http://localhost:8088/xxx/xxx
        String url = request.getRequestURI().substring(1);
        //IP
        String ip = RequestUtil.getIPAddress();
        //判断是否超出频率
        String key = RedisKeys.BRUSH_PROOF.join(url, ip);
        if(!securityRedisService.isAllowBrush(key)){
            //表示请求超出频率
            response.setContentType("text/json;charset=UTF-8");
            response.getWriter().write(JSON.toJSONString(JsonResult.
                    error(500, "请勿频繁访问","再按削你啊!")));
            return false;
        }
        return true;
    }
}

测试:

 
@RestController
public class TestController {
    @GetMapping("/test")
    public Object test(){
        return JsonResult.success("访问的请求进来了");
    }
}

结果:
在这里插入图片描述

qq_47614329
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络抓包工具 http请求抓取 接口拦截
09-19
软件测试工作中,我们时常需要查看接口请求、或者服务器的返回,携带的参数、请求地址、返回的参数、或者token、cookies是否正确,文档中介绍了几种常用的方式。既有PC端,又有移动端,初步介绍了常用的几种方式,可以作为入门文档使用。
java拦截器实现接口调用频率、IP限制
weixin_45356089的博客
05-12 624
java拦截器实现接口调用频次和IP限制
接口防篡改+防重放攻击
最新发布
Java后端技术栈
06-19 332
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。如果没有,则创建这个 key,把这个 key 失效的时间和验证 timestamp 失效的时间一致,比如是 60s。如果有,说明这个 key 在 60s 内已经被使用了,那么这个请求就可以判断为重放请求。去 redis 中查找是否有 key 为 nonce:{nonce}的 string。
优雅的接口防刷处理方式,看这一篇就够了
小学生波波
09-22 3552
优雅的接口防刷处理方式
如何优雅的实现接口防刷,看过来!!!
ybb_ymm的专栏
04-07 1819
我们的签名就是为了防止攻击者对我们的timestamp人工更改所作的措施,毕竟攻击者从抓包到重放请求已经远超过了60S,这个时候参数中的timestamp已经过期了,如果攻击者更改时间错,则数字签名就会校验失败。因为,攻击者是不知道签名秘钥的。这一方案,timestamp和nonceStr两者作为签名的一部分传到了后端,鉴于上面的timestamp方案使得攻击者只能在60S内进行了重放攻击操作,我们有通过了nonceStr随机数进行了60S内只能进行一次接口调用,则保证了我们接口避免重放攻击的漏洞!
接口如何防止被刷,教你有效的8种方法
m0_66326520的博客
02-23 2034
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口被恶意刷。
优雅的接口防刷处理方式,看这一篇就够了(经典)
gb4215287的博客
10-15 640
优雅的接口防刷处理方式,看这一篇就够了
uni-app 请求拦截器
11-11
【uni-app请求拦截器】是基于uni-app框架实现的一种机制,它允许开发者在发送网络请求前和接收到响应后执行自定义的操作。这种机制对于统一处理请求头、数据格式、错误处理以及添加全局的请求前后的逻辑非常有用,极...
ssm-拦截器.zip
09-20
它通过实现`HandlerInterceptor`接口或继承`HandlerInterceptorAdapter`抽象类来创建自定义拦截器。 1. **创建拦截器** 自定义拦截器需要实现`preHandle`、`postHandle`和`afterCompletion`三个方法: - `...
Struts2 拦截器-v3
10-11
理解并掌握拦截器的使用能提高应用的安全性和效率。 9. **Struts2-6**:这个文件名可能指的是Struts2的第六个版本,不同版本可能存在功能差异或优化,学习时需要关注新特性以及与旧版本的兼容性问题。 通过深入...
Spring Cloud OpenFeign - - - >拦截器
11-29
初学者很容易将 Spring MVC 拦截器 和 Spring Cloud OpenFeign 拦截器搞混,误以为OpenFeign拦截器就是SpringMVC拦截器:Spring MVC拦截器发生在客户端 和 服务端之间,在客户端向服务端发送请求时进行拦截处理。...
Android-OkLogOkHttp的响应记录拦截器
08-13
在OkHttp中,拦截器是一个接口,它允许我们在请求发送到服务器前或从服务器返回响应后进行操作。通过添加自定义的拦截器,我们可以实现诸如添加认证头、日志记录、重试策略等功能。在我们的场景中,我们关注的是响应...
接口安全----接口防刷
weixin_51764982的博客
01-20 6405
接口安全接口防刷实现,超过十次则拦截,一分钟后恢复
springboot拦截器配置
AndyMocan的博客
08-23 1822
首先定义拦截器  public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { ret...
springBoot项目中怎么实现接口拦截
sutingStart的博客
01-30 2069
在Spring Boot项目中实现接口拦截通常涉及到两个关键组件:拦截器(Interceptor)和过滤器(Filter)。Spring框架提供了这两种机制来进行HTTP请求的拦截,可以根据需要的粒度和场景来选择使用重点但是在项目中都是将其抽取出来作为一个单独的权限服务,和用户是绑定的关系,并非是直接在代码中进行硬编码做拦截接口,而是通过注解或者是通过配置文件,在访问接口前通过调用RPC接口的方式进行权限校验等等。提示:以下是本篇文章正文内容,下面案例可供参考。
接口如何防刷,微信web开发教程
2301_76379462的博客
04-06 791
分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载。
Java】教你如何实现接口防刷
DreamSun的博客
08-14 745
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示 “请勿重复提交” 的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口防刷的一种处理方式,通过在一定时间内限制同一用户对同一个接口的请求次数,其目的是为了防止恶意访问导致服务器和数据库的压力增大,也可以防止用户重复提交。/*** @description 重复请求拦截/*** 限定时间 单位:秒/*** 限定请求次数。
java中注释初次体验
你怎么也喜欢嘴巴嘟嘟
11-25 151
JDK 内置的常用注解 @override:用于注解方法,说明该方法必须是重写方法 @Deprecated注解的类、属性、方法 说明是已经过时 勉强还能使用 @SupperessWarnings 用于抑制编译器警告 自定义注解 格式: public @interface MyAnnotation {} 元注解 @Retention:描述注解的声明周期 @Target:描述注解可用于修饰哪些程序元素 @Documented:随之生成说明文档,但注解的声明周期必须是RUNTIME @Inherited:被它修
教你如何实现接口防刷
m0_73311735的博客
08-11 237
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口防刷的一种处理方式,通过在一定时间内限制同一用户对同一个接口的请求次数,其目的是为了防止恶意访问导致服务器和数据库的压力增大,也可以防止用户重复提交。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值