springboot接口限流,防连点攻击

最新推荐文章于 2024-06-19 17:25:58 发布
最新推荐文章于 2024-06-19 17:25:58 发布
阅读量192 收藏
点赞数 1
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shijunyi888/article/details/134267448
版权

概要

通过aop切面+redis实现接口限流,ip限制,防重复提交

整体架构流程

提示:通过aop切面+redis实现接口限流,ip限制,防重复提交

接口 文件

package com.bzfar.config;


import com.bzfar.enums.LimitType;

import java.lang.annotation.*;

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface RateLimiter{

    /**
     * 限流key
     */
    String key() default "rate_limit:";

    /**
     * 限流时间,单位秒
     */
    int time() default 60;

    /**
     * 限流次数
     */
    int count() default 100;

    /**
     * 限流类型
     */
    LimitType limitType() default LimitType.DEFAULT;
}

package com.bzfar.config;



import com.aspose.words.net.System.Data.DataException;
import com.bzfar.HeadContext;
import com.bzfar.enums.LimitType;
import com.bzfar.util.RedisUtil;
import com.bzfar.utils.IpUtil;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.After;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.script.RedisScript;
import org.springframework.stereotype.Component;

import java.lang.reflect.Method;
import java.util.Collections;
import java.util.List;

@Aspect
@Component
@Slf4j
public class RateLimiterAspect {

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private RedisUtil redisUtil;


    @Before("@annotation(rateLimiter)")
    public void doBefore(JoinPoint point, RateLimiter rateLimiter) throws Throwable {
        String key = rateLimiter.key();
        Long time = new Long(rateLimiter.time());
        int count = rateLimiter.count();

        String combineKey = getCombineKey(rateLimiter, point);
        String keyCode = key + combineKey.hashCode();
        int number = 1;
        if(redisUtil.hasKey(keyCode)){
            number = (Integer)redisUtil.get(keyCode);
            ++number;
        }
        redisUtil.set(keyCode , number , time);
        if(number > count){
            throw new DataException("访问过于频繁,请稍候再试");
        }
    }

    @After("@annotation(rateLimiter)")
    public void doAfter(JoinPoint point, RateLimiter rateLimiter) throws Throwable {
        String combineKey = getCombineKey(rateLimiter, point);
        redisTemplate.delete(combineKey);
    }

    public String getCombineKey(RateLimiter rateLimiter, JoinPoint point) {
        StringBuffer stringBuffer = new StringBuffer(rateLimiter.key());
        if (rateLimiter.limitType() == LimitType.IP) {
            stringBuffer.append(IpUtil.getIp()).append("-");
        }
        if(rateLimiter.limitType() == LimitType.USER){
            stringBuffer.append(HeadContext.getToken()).append("-");
        }
        MethodSignature signature = (MethodSignature) point.getSignature();
        Method method = signature.getMethod();
        Class<?> targetClass = method.getDeclaringClass();
        stringBuffer.append(targetClass.getName()).append("-").append(method.getName());
        return stringBuffer.toString();
    }
}

type文件

package com.bzfar.enums;

import io.swagger.annotations.ApiModel;
import lombok.Getter;

@ApiModel("限流类型")
@Getter
public enum LimitType {

    /** 默认策略全局限流 */
    DEFAULT,

    /** ip限流 */
    IP,

    /**  用户id限流 */
    USER
}

package com.bzfar.submit;

import java.lang.annotation.*;

@Inherited
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface RepeatSubmit
{

}

package com.bzfar.submit;

import com.bzfar.util.AssertUtil;
import org.springframework.messaging.handler.HandlerMethod;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;

@Component
public abstract class RepeatSubmitInterceptor extends HandlerInterceptorAdapter
{
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
    {
        if (handler instanceof HandlerMethod)
        {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            RepeatSubmit annotation = method.getAnnotation(RepeatSubmit.class);
            if (annotation != null)
            {
                if (this.isRepeatSubmit(request))
                {
                    AssertUtil.assertNull("", "不允许重复提交,请稍后再试");
                    return false;
                }
            }
            return true;
        }
        else
        {
            return super.preHandle(request, response, handler);
        }
    }

    /**
     * 验证是否重复提交由子类实现具体的防重复提交的规则
     *
     * @param request
     * @return
     * @throws Exception
     */
    public abstract boolean isRepeatSubmit(HttpServletRequest request) throws Exception;
}

ip工具类

package com.bzfar.utils;

import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.net.InetAddress;
import java.net.UnknownHostException;
import java.util.Objects;

@Slf4j
public class IpUtil {

    // 多次反向代理后会有多个ip值 的分割符
    private static final String IP_UTILS_FLAG = ",";
    // 未知IP
    private static final String UNKNOWN = "unknown";
    // 本地 IP
    private static final String LOCALHOST_IP = "0:0:0:0:0:0:0:1";
    private static final String LOCALHOST_IP1 = "127.0.0.1";

    public static String getIp(){
        // 根据 HttpHeaders 获取 请求 IP地址
        HttpServletRequest request = ((ServletRequestAttributes) Objects.requireNonNull(RequestContextHolder.getRequestAttributes())).getRequest();
        String ip = request.getHeader("X-Forwarded-For");
        if (StringUtils.isEmpty(ip) || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("x-forwarded-for");
            if (ip != null && ip.length() != 0 && !UNKNOWN.equalsIgnoreCase(ip)) {
                // 多次反向代理后会有多个ip值,第一个ip才是真实ip
                if (ip.contains(IP_UTILS_FLAG)) {
                    ip = ip.split(IP_UTILS_FLAG)[0];
                }
            }
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("X-Real-IP");
        }
        //兼容k8s集群获取ip
        if (StringUtils.isEmpty(ip) || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = Objects.requireNonNull(request.getRemoteAddr());
            if (LOCALHOST_IP1.equalsIgnoreCase(ip) || LOCALHOST_IP.equalsIgnoreCase(ip)) {
                //根据网卡取本机配置的IP
                InetAddress iNet = null;
                try {
                    iNet = InetAddress.getLocalHost();
                } catch (UnknownHostException e) {
                    log.error("getClientIp error: ", e);
                }
                assert iNet != null;
                ip = iNet.getHostAddress();
            }
        }
        return ip;
    }
}

controller层注解

    @PostMapping("addOrUpdateUser")
    @ApiOperation("新增或修改用户信息及人脸")
    @RateLimiter(time = 2,count = 1 , limitType = LimitType.IP)
    public HttpResult addOrUpdateUserFace(@Validated @RequestBody AddUserDto dto){
  
        return HttpResult.ok( userService.addUserFace(dto));

    }

小结

提示:

@RateLimiter(time = 2,count = 1 , limitType = LimitType.IP) 注解开启会根据固定的ip没2秒允许访问 1次
shijunyi888
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1234
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
详解Springboot分布式限流实践
08-25
计数器限流算法是比较常用的一种限流方案,也是最为粗暴直接的,主要用来限制总并发数,比如数据库连接池大小、线程池大小、接口访问并发数等都是使用计数器算法。 三、限流代码实践 下面,我们将详细介绍 ...
接口被恶意狂刷?一招帮你搞定!
Java笔记虾
01-06 117
戳上方蓝字“Java笔记虾”关注我API 接口防刷,顾名思义,想让某个接口某个人在某段时间内只能请求N次。在项目中比较常见的问题也有,那就是连点按钮导致请求多次,以前在web端有表单重复提交,可以通过token 来解决。除了上面的方法外,前后端配合的方法。现在全部由后端来控制。原理在你请求的时候,服务器通过redis 记录下你请求的次数,如果次数超过限制就不给访问。在redis 保存的key 是有...
SpringBoot】之接口设计防篡改和防重放攻击
王廷云的博客
09-12 5328
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
SpringBootSpring Boot 如何实现接口防刷
最新发布
低调做人,低调编码,神码都是浮云
06-19 1734
SpringBoot接口防刷
Spring Boot 如何保证接口安全?有哪些常用的接口安全技术?
网络技术联盟站
06-04 1885
Spring Boot 作为一个快速开发框架,在开发过程中会遇到大量的接口开发工作。这些接口多数情况下都是和外部系统连接的,因此我们不仅需要考虑功能的实现,还需要保证接口的安全。认证(Authentication):即身份验证,确认用户身份是否正确。授权(Authorization):即权限控制,确认用户是否有操作某个资源的权限。数据传输安全:即保证数据在传输过程中不被窃取、篡改或伪造。防止攻击防止不法分子通过网络攻击的方式进行恶意访问或攻击等。
springboot接口服务,防刷、防止请求攻击,AOP实现
热门推荐
徐本锡的专栏
02-16 4万+
springboot接口服务,防刷、防止请求攻击,AOP实现
Spring Boot教程十七:防止接口恶意刷新和暴力请求
a250152的专栏
05-27 657
在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的; 首先工程为springboot框架搭建,不再详细叙述。直接上核心代码。 首先创建一个自定义的拦截器类,也是最核心的代码; /** * @package: com.technicalinterest.group.interceptor * @cl..
springboot注解+aop实现接口限流
09-07
springboot框架中使用自定义注解,配合切面实现接口限流,增加ip黑名单功能,可实现ip+账号+接口进黑名单,也可以实现账号+ip进黑名单及禁用账号; 可以学会自定义注解使用、自定义响应码枚举及使用、自定义异常类及...
Spring Boot接口设计防篡改、防重放攻击详解
08-25
**基于timestamp的防重放攻击** 防止重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers中...
SpringBoot如何使用AOP+Redis实现接口限流实现全过程(值得珍藏)
01-21
} } } } 3.5 拦截接口 在需要限流接口上添加 @Aspect 和 @Around 注解,调用之前创建的 Redis 限流器进行限流检查:@RestController @RequestMapping("/api") public class MyController { @Autowired private ...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot 如何保证接口安全?老鸟们都是这么玩的
wdj_yyds的博客
04-25 297
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
SpringBoot防止API接口被刷(频繁访问),以及代码执行sql脚本
passerbyYSQ
08-29 3352
前言 最近在b站看vue的实战视频,其中需要搭建服务端的api接口,以给vue请求使用。学习资料里面提供了api的项目代码。在本地运行,每次都要启动,有点麻烦。使用老师搭建的api,由于是公用的,数据库数据经常被其他学习的同学删除或修改。 为了一劳永逸,也为了各位小伙伴一起愉快学习。我就用SpringBoot写了一个小程序,放到服务器运行。每天凌晨2点定时执行sql脚本,将数据库数据重新导入。同时为了紧急情况,提供了一个公开访问的api接口,随时可以通过访问该api,将数据库的数据重置。这样,如果一起
重复提交,CSRF,XSS攻击
y_index的博客
09-20 383
表单重复提交解决方案(防止Http重复提交 网络延时 在平时开发中,如果网速比较慢的情况下,用户提交表单后,发现服务器半天都没有响应,那么用户可能会以为是自己没有提交表单,就会再点击提交按钮重复提交表单,我们在开发中必须防止表单重复提交。 重新刷新 表单提交后用户点击【刷新】按钮导致表单重复提交 点击浏览器的【后退】按钮回退到表单页面后进行再次提交 用户提交表单后,点击浏览器的...
springboot+redis+aop实现防接口被连续点击
qq_33969539的博客
09-15 184
利用方法注解+aop+redisson锁使用用户id+接口做key来做防重调用。
SpringBoot 如何进行限流?老鸟们都这么玩的
GitHub质检员
11-29 708
限流是对某一时间窗口内的请求数进行限制,保持系统的可用性和稳定性,防止流量暴增而导致的系统运行缓慢或宕机。常见的限流算法有三种:1. 计数器限流计数器限流算法是最为简单粗暴的解决方案,主要用来限制总并发数,比如数据库连接池大小、线程池大小、接口访问并发数等都是使用计数器算法。如:使用 AomicInteger 来进行统计当前正在并发执行的次数,如果超过域值就直接拒绝请求,提示系统繁忙。2. 漏桶算法漏桶算法漏桶算法思路很简单,我们把水比作是请求,漏桶比作是系统处理能力极限。
springBoot项目中怎么实现接口拦截
sutingStart的博客
01-30 2173
Spring Boot项目中实现接口拦截通常涉及到两个关键组件:拦截器(Interceptor)和过滤器(Filter)。Spring框架提供了这两种机制来进行HTTP请求的拦截,可以根据需要的粒度和场景来选择使用重点但是在项目中都是将其抽取出来作为一个单独的权限服务,和用户是绑定的关系,并非是直接在代码中进行硬编码做拦截接口,而是通过注解或者是通过配置文件,在访问接口前通过调用RPC接口的方式进行权限校验等等。提示:以下是本篇文章正文内容,下面案例可供参考。
springboot 接口限流
06-03
Spring Boot 中,我们可以使用 AOP(面向切面编程)和拦截器的方式来实现接口限流。以下是一个简单的实现方式: 1. 引入 Guava 库,它包含了令牌桶算法和漏斗算法的实现。 2. 定义一个注解 `@RateLimit`,用来标记需要进行限流接口。 ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface RateLimit { int value() default 100; // 默认每秒限制100个请求 } ``` 3. 定义一个切面 `RateLimitAspect`,在接口被调用时进行限流检查。 ```java @Aspect @Component public class RateLimitAspect { private final RateLimiter rateLimiter = RateLimiter.create(100.0); // 每秒100个请求 @Around("@annotation(rateLimit)") public Object limit(ProceedingJoinPoint joinPoint, RateLimit rateLimit) throws Throwable { if (rateLimiter.tryAcquire(rateLimit.value(), TimeUnit.MILLISECONDS)) { return joinPoint.proceed(); } else { throw new RuntimeException("接口限流,请稍后再试!"); } } } ``` 4. 在接口方法上添加 `@RateLimit` 注解,指定每秒允许的请求个数。 ```java @RestController public class DemoController { @GetMapping("/demo") @RateLimit(10) // 每秒限制10个请求 public String demo() { return "Hello World!"; } } ``` 以上代码实现了一个简单的接口限流功能,可以根据实际需求进行调整。需要注意的是,这种方式只适用于单机部署的场景,如果是分布式部署的系统,需要考虑使用分布式限流方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值