接口安全----接口防刷(拦截器)

最新推荐文章于 2024-07-25 09:37:56 发布
最新推荐文章于 2024-07-25 09:37:56 发布
阅读量1.1k 收藏 2
点赞数
文章标签: 安全 java
原文链接:https://blog.csdn.net/weixin_51764982/article/details/122601236
版权

私有:需要企业内部资源共享 内部接口

公有:短信平台,天气预报。。。。
接口安全要求:

1、防伪装攻击
 
处理方式:接口防刷
 
出现情况:公共网络环境中,第三方有意或者恶意调用我们的接口
 
2、防篡改攻击
 
处理方式:签名机制
 
出现情况:请求头/查询字符串/内容 在传输中来修改其内容
 
3、防重放攻击
 
处理方式:接口时效性
 
出现情况:请求被截获,稍后被重放或多次重放
 
4、防数据信息泄露
 
处理方式:接口加密(对称加解密)
 
出现情况:截获用户登录请求,主要是截获账号密码

防刷逻辑分析
需求:接口防刷

核心:服务器无法知道请求是正常的还是攻击性的

解决:设置接口访问的频率(单位时间内访问次数)
核心技术点:
在这里插入图片描述
可以采用:过滤器/拦截器 ------> 拦截所有接口,对所有暴露的接口作防刷操作

 
/**
思路:
1、设计Redis Key 临时 有效期1分钟 允许10次
KEY: URL:IP    --->     拼接的key   
value:用户访问次数
2、设置拦截器,拦截需要访问的接口URL
3:拦截逻辑
        3.1>拦截url,拼接key查询redis中是否存在
        3.2>如果不存在    url:ip 10     redist操作关键字:setnx 
        3.3>如果存在      url:ip                         derc 
        3.4>如果次数减到0,拦截返回:请勿频繁访问 拓展:加载入黑名单
        3.5>其他情况直接放行。
*/

接口:

/*
安全防护接口
 */
public interface ISecurityRedisService {
    boolean isAllowBrush(String key);
}

实现类:

@Service
public class SecurityRedisServiceImpl implements ISecurityRedisService {
 
    @Autowired
    private StringRedisTemplate template;
 
    @Override
    public boolean isAllowBrush(String key) {
        //等价于setnx
        template.opsForValue().setIfAbsent(key, "10", RedisKeys.BRUSH_PROOF.getTime(), TimeUnit.SECONDS);
 
        Long decrement = template.opsForValue().decrement(key);
 
        return decrement >= 0;
    }
}

启动配置类:

 
@Configuration
public class WebConfig implements WebMvcConfigurer{
    
 
   //防刷拦截
    @Bean
    public BrushProofInterceptor brushProofInterceptor(){
        return new BrushProofInterceptor();
    }
     
    //拦截器的注册-------------------------------------
    @Bean
    public CheckLoginInterceptor checkLoginInterceptor(){
        return new CheckLoginInterceptor();
    }
    //配置拦截的规则
 
 
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(checkLoginInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/swagger-ui.html");//哪些拦截
                //放行资源
//                .excludePathPatterns("/users/checkPhone")
//                .excludePathPatterns("/users/sendVerifyCode")
//                .excludePathPatterns("/users/login")
//                .excludePathPatterns("/users/regist");
        
        registry.addInterceptor(brushProofInterceptor()).addPathPatterns("/**");
    }
}

工具类:

 
/*
    请求工具类,获取信息
 */
public class RequestUtil {
    public static String getIPAddress() {
 
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
 
        String ip = null;
 
        //X-Forwarded-For:Squid 服务代理
        String ipAddresses = request.getHeader("X-Forwarded-For");
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //Proxy-Client-IP:apache 服务代理
            ipAddresses = request.getHeader("Proxy-Client-IP");
        }
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //WL-Proxy-Client-IP:weblogic 服务代理
            ipAddresses = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //HTTP_CLIENT_IP:有些代理服务器
            ipAddresses = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            //X-Real-IP:nginx服务代理
            ipAddresses = request.getHeader("X-Real-IP");
        }
 
        //有些网络通过多层代理,那么获取到的ip就会有多个,一般都是通过逗号(,)分割开来,并且第一个ip为客户端的真实IP
        if (ipAddresses != null && ipAddresses.length() != 0) {
            ip = ipAddresses.split(",")[0];
        }
 
        //还是不能获取到,最后再通过request.getRemoteAddr();获取
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
            ip = request.getRemoteAddr();
        }
        return ip;
    }
}

RedisKey:
定义常量,拼接Key

public enum RedisKeys {
    //API接口防刷
    BRUSH_PROOF("brush_proof",-1L);
 
    private String prefix; //key的前缀
 
    private Long time; //约定的时效 单位秒
 
    private RedisKeys(String prefix, Long time) {
        this.prefix = prefix;
        this.time = time;
    }
 
 
    public String join(String... values){
        StringBuilder sb = new StringBuilder(80);
        sb.append(this.prefix);
        for (String value : values) {
            sb.append(":").append(value);
        }
        return sb.toString();
    }
}

拦截器:

 
/*
防刷拦截
 */
public class BrushProofInterceptor implements HandlerInterceptor {
 
    @Autowired
    private ISecurityRedisService securityRedisService;
 
 
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
 
        //请求接口URL     Http://localhost:8088/xxx/xxx
        String url = request.getRequestURI().substring(1);
        //IP
        String ip = RequestUtil.getIPAddress();
        //判断是否超出频率
        String key = RedisKeys.BRUSH_PROOF.join(url, ip);
        if(!securityRedisService.isAllowBrush(key)){
            //表示请求超出频率
            response.setContentType("text/json;charset=UTF-8");
            response.getWriter().write(JSON.toJSONString(JsonResult.
                    error(500, "请勿频繁访问","再按削你啊!")));
            return false;
        }
        return true;
    }
}

测试:

 
@RestController
public class TestController {
    @GetMapping("/test")
    public Object test(){
        return JsonResult.success("访问的请求进来了");
    }
}

结果:
在这里插入图片描述

qq_47614329
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
十七、安全优化(拦截器实现接口限流防刷
lahhass的博客
06-27 1674
接口限流防刷 防止用户大量重复访问,一分钟之内限制访问多少次 思路:对接口做限流,计时,并记录访问次数 将一个用户的访问次数写到缓存里,同时给数据加有效期,次数增加直接对数据+1 如果在有效期内,数据超过某数值,访问返回失败 有效期过了,重新存入数据 可以使用拦截器减少对业务侵入 定义注解@AccessLimit(seconds=5, maxCount=5,needLogin=true),定...
uni-app实现用接口编写新闻
weixin_69352142的博客
06-22 1234
uni-app是一个使用 vue.js 开发所有前端应用的框架,开发者编写一套代码,可发布到iOS、Android、Web(响应式)、以及各种小程序(微信/支付宝/百度/头条/飞书/QQ/快手/钉钉/淘宝)、快应用等多个平台。
java拦截器实现接口调用频率、IP限制
weixin_45356089的博客
05-12 624
java拦截器实现接口调用频次和IP限制
接口安全----接口防刷
weixin_51764982的博客
01-20 6405
接口安全接口防刷实现,超过十次则拦截,一分钟后恢复
接口防篡改+防重放攻击
Java后端技术栈
06-19 332
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。如果没有,则创建这个 key,把这个 key 失效的时间和验证 timestamp 失效的时间一致,比如是 60s。如果有,说明这个 key 在 60s 内已经被使用了,那么这个请求就可以判断为重放请求。去 redis 中查找是否有 key 为 nonce:{nonce}的 string。
接口安全 -- 接口防刷代码实现
weixin_47057820的博客
08-22 572
接口安全 api接口分类: 1>公共接口:你查快递,你查天气预报,你查飞机,火车班次等,这些都是有公共的接口 2>私密接口:需要登录访问或者公司内部接口 接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口):接口防刷 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改):接口防篡改(签名机制) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放):接口时效性 4.防数据信息泄漏
【商城秒杀项目】-- 接口限流防刷
weixin_42687829的博客
02-26 1598
接口限流防刷的目的 限制同一个用户一段时间之内只能访问固定次数,在服务端对系统做一层保护 实现思路 利用缓存实现,当用户每次点击访问接口的时候,在缓存中生成一个计数器,第一次请求的时候将这个计数器计数为1后存入缓存,并给其设定有效期,比如一分钟,如果一分钟之内再访问,那么数值加一;一分钟之内访问次数超过限定数值,就直接返回“访问过于频繁”;等到下一个一分钟,数据又重新从0开始计算,因为给缓存...
安全优化---接口限流防刷
weixin_38035852的博客
07-24 4945
接口限流防刷: 限制同一个用户在限定时间内,只能访问固定次数。 思路:每次点击之后,在缓存中生成一个计数器,第一次将这个计数器置1后存入缓存,并给其设定有效期。 每次点击后,取出这个值,计数器加一,如果超过限定次数,就抛出业务异常。 String limitURL =request.getRequestURI();//url 是Stringbuffer URI St...
SpringBoot在一定时间内限制接口请求次数-接口防刷拦截
EPW云沐
11-21 2514
SpringBoot在一定时间内限制接口请求次数-接口防刷拦截
【SpringBoot】Spring Boot 如何实现接口防刷
低调做人,低调编码,神码都是浮云
06-19 1579
SpringBoot接口防刷
uni-app 请求拦截器
11-11
【uni-app请求拦截器】是基于uni-app框架实现的一种机制,它允许开发者在发送网络请求前和接收到响应后执行自定义的操作。这种机制对于统一处理请求头、数据格式、错误处理以及添加全局的请求前后的逻辑非常有用,极...
ssm-拦截器.zip
09-20
它通过实现`HandlerInterceptor`接口或继承`HandlerInterceptorAdapter`抽象类来创建自定义拦截器。 1. **创建拦截器** 自定义拦截器需要实现`preHandle`、`postHandle`和`afterCompletion`三个方法: - `...
Struts2 拦截器-v3
10-11
理解并掌握拦截器的使用能提高应用的安全性和效率。 9. **Struts2-6**:这个文件名可能指的是Struts2的第六个版本,不同版本可能存在功能差异或优化,学习时需要关注新特性以及与旧版本的兼容性问题。 通过深入...
Spring Cloud OpenFeign - - - >拦截器
11-29
初学者很容易将 Spring MVC 拦截器 和 Spring Cloud OpenFeign 拦截器搞混,误以为OpenFeign拦截器就是SpringMVC拦截器:Spring MVC拦截器发生在客户端 和 服务端之间,在客户端向服务端发送请求时进行拦截处理。...
Android-OkLogOkHttp的响应记录拦截器
08-13
在OkHttp中,拦截器是一个接口,它允许我们在请求发送到服务器前或从服务器返回响应后进行操作。通过添加自定义的拦截器,我们可以实现诸如添加认证头、日志记录、重试策略等功能。在我们的场景中,我们关注的是响应...
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 427
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 496
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
2024安全大模型技术与市场研究报告
最新发布
cybtec的博客
07-25 465
2024安全大模型技术与市场研究报告
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值