接口防刷

最新推荐文章于 2024-05-16 01:08:50 发布
置顶 最新推荐文章于 2024-05-16 01:08:50 发布
阅读量2k 收藏 6
点赞数
分类专栏: spring redis 文章标签: 接口 防刷 后台 接口限流
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shu616048151/article/details/102951677
版权
  • 背景介绍

目前大部分公司都采用前后端分离的开发方式,进行项目的并行开发。在项目中后台只需要提供一套API接口,就可以接入安卓、小程序、IOS、web等多个应用程序,这样可以节约开发成本。但是一个后台接入这么多应用程序的http请求,必然导致后端的压力非常大。所以对于一些请求进行过滤和拦截是非常有必要的,能够有效地减轻后台的压力。

接口防刷机制:主要防止短时间接口被大量调用(攻击),出现系统崩溃和系统爬虫问题,提升服务的可用性。

本文主要是通过 注解+redis+spring aop+全局异常的方式实现接口防刷功能。

  • 防刷注解
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequestLimit {

   int maxCount() default 5;
   //建议时间长一点,redis对于1s失效时间会出现无法过期的情况
   int second() default 1;
   //默认为五分钟
   long expireTime() default 5*60;

   //提示信息
   String message() default "短时间内访问次数超出限制";
}
  • spring AOP切面
@Component
@Aspect
public class RequestAspect {
    private static final Logger logger = Logger.getLogger(RequestAspect.class);

    @Resource
    private RedisTemplate redisTemplate;

    @Pointcut("@annotation(com.shu.redis.antibrush.aspect.RequestLimit)")
    private void authAccess() {
    }

    //这里写的为环绕触发,可自行根据业务场景选择@Before @After
    //触发条件为:(edu.whut.pocket.*.controller包下面所有类且)含有注解@RequestLimit
    @Before(value = "authAccess() && @annotation(requestLimitAnnotation) ",argNames = "joinPoint,requestLimitAnnotation")
    public void doBeforeMethod(JoinPoint joinPoint, RequestLimit requestLimitAnnotation) throws Exception {

        //请求参数名-值
        Signature signature = joinPoint.getSignature();
        MethodSignature methodSignature = (MethodSignature) signature;
        String[] paramsKey = methodSignature.getParameterNames();
        Object[] paramsValue = joinPoint.getArgs();

        String message=requestLimitAnnotation.message();
        int maxCount = requestLimitAnnotation.maxCount();
        int second = requestLimitAnnotation.second();
//        long expireTime = requestLimitAnnotation.expireTime();
        //正是上线可以调整
        long expireTime = 2;

        Object result = null;
        //对ip做校验
        //request对象
        HttpServletRequest request = (HttpServletRequest) paramsValue[0];
        String ip = IPUtil.getIpAddress(request);

        String requestURI = request.getRequestURI();

        Object object = redisTemplate.opsForValue().get("riskIp:" + ip);
        if (object!=null){
            Boolean hasKey = redisTemplate.hasKey("requestLimit:" + requestURI + "-" + ip);
            if (hasKey==true){
                //防止出现过期时间为-1的情况,强制删除
                redisTemplate.delete("requestLimit:" + requestURI + "-" + ip);
            }
            //用于提示信息
            throw new RequestLimitException(message);
        }
        if (object==null) {
            //利用redis的存活时间自动对request的请求进行检验
            Integer requestCount = (Integer) redisTemplate.opsForValue().get("requestLimit:"+requestURI+"-" + ip);
            if (requestCount == null||requestCount==0) {
                logger.info("重新加入redisIp:"+ip);
                redisTemplate.opsForValue().set("requestLimit:"+requestURI+"-" + ip, 1, second, TimeUnit.SECONDS);
                return;
            }else {
                if (requestCount >= maxCount) {
                    //请求的时间超时,将这个ip关进小黑屋
                    long timeMillis = System.currentTimeMillis();
                    redisTemplate.opsForValue().set("riskIp:" + ip, timeMillis, expireTime, TimeUnit.SECONDS);
                    throw new RequestLimitException(message);
                }else {
                    //开始放行
                    redisTemplate.opsForValue().increment("requestLimit:"+requestURI+"-" + ip, 1);
                    logger.info("放行ip:"+ip);
                    Long expire = redisTemplate.getExpire("requestLimit:" + requestURI + "-" + ip);
                    logger.info("millexpire:"+expire);
                }
            }
        }

    }

}
  • 异常处理机制
public class RequestLimitException extends RuntimeException {
    public RequestLimitException(String message) {
        super(message);
    }
}

- @ControllerAdvice
@ResponseBody
public class WebExceptionHandler {
    private static Logger logger = Logger.getLogger(WebExceptionHandler.class);

    //全局异常处理
    @ExceptionHandler(RequestLimitException.class)
    @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)
    public Map  handleRequestException(RequestLimitException e){
        ResponseMap map = ResponseMap.getInstance();
        return map.putFailure(e.getMessage(), HttpStatus.INTERNAL_SERVER_ERROR.value());
    }
}
  • 后记

本文只是提供接口防刷的一个简单的解决方案,还有许多其他的实现方式,在许多大型互联网公司,接口防刷技术更加复杂,但是接口防刷的原理基本相似。

shu616048151
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口如何防刷,微信web开发教程
2301_76379462的博客
04-06 778
分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载。
接口防止恶意调用的安全策略
qq_24516549的博客
03-29 2326
1.背景 需要做一个微信分享的后端支持接口,请求响应中包含appid,为了避免对外暴露配置相应的安全策略 2.步骤 限制请求域名 在后端cors过滤器中添加指定的域名作为allowedOrigins的值,非此域名无法访问接口\ @Configuration public class CorsConfig implements WebMvcConfigurer { @Override ...
必会接口防刷案例
BASK2312的博客
02-01 1501
实现原理是利用拦截器拦截所有接口请求,然后对需要防刷接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后的每次请求都会使访问次数加一。为了防止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口防刷(防止重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口防刷。我在第一次请求后的30秒内连续访问超过5次请求,会输出我的报错信息,工作中可以跳转自己的错误页面。附上redisUtils代码。
API接口防刷的几种方案,你知道哪些?
最新发布
qq_38860250的博客
05-16 319
限制来自单个IP地址、用户或应用程序的请求频率,设置最大请求次数或请求速率,并采取适当的措施来处理超出限制的请求,例如返回错误码或延迟响应。:监控和分析用户或应用程序的行为模式,识别异常的访问模式和活动,并采取相应的措施,例如暂时禁止访问或增加验证码验证。:在API接口的前端部署防火墙或反向代理,对请求进行过滤和检查,防止恶意流量和攻击,例如DDoS攻击。监控API接口的访问日志,及时发现异常请求,例如某个P频繁请求同一接口,及时采取相应的安全措施。
接口如何防止
liujiang的博客
07-15 5122
接口如何防刷 1:网关控制流量洪峰,对在一个时间段内出现流量异常,可以拒绝请求 2:源ip请求个数限制。对请求来源的ip请求个数做限制 3:http请求头信息校验;(例如host,User-Agent,Referer) 4:对用户唯一身份uid进行限制和校验。例如基本的长度,组合方式,甚至有效性进行判断。或者uid具有一定的时效性 5:前后端协议采用二进制方式进行交互或者协议采用签名机制 6:人机验证,验证码,短信验证码,滑动图片形式 ...
接口防刷解决思路
qq_41177361的博客
03-05 2106
场景和原因: 1.在项目中后台只需要提供一套API接口,就可以接入安卓、小程序、IOS、web等多个应用程序,这样可以节约开发成本。 但是一个后台接入这么多应用程序的http请求,必然导致后端的压力非常大。对于这些情况我们需要对用户的访问进行限流访问,我们可以依次对Nginx、tomcat、接口进行限流。 2.对于一些请求进行过滤和拦截是非常有必要的,能够有效地减轻后台的压力。 3.考虑线上环境 ...
SpringBoot接口防刷(限制指定用户对指定接口指定时间范围内的访问次数)
liuerpeng1904的博客
10-11 3539
在你请求的时候,服务器通过redis记录下你的请求次数,如果次数超出限制,则不给访问,在redis保存key是有时效性的,过期就会删除。这次我们使用 注解 拦截器 缓存 来实现这个功能。
java AOP接口防刷代码
12-12
java AOP接口防刷代码下载可用
lock_api_mount:api接口防刷插件 随时拔插
04-08
lock_api_mountapi接口防刷插件 随时拔插
Java利用注解进行接口防刷操作
05-17
接口防刷是后端同学都必须了解的,本例子通过集合注解和拦截器的方式进行接口防刷控制,通过注解的形式,标记要防刷接口,具体的限制次数可通过属性进行配置,灵活方便
springboot+redis实现网站限流接口防刷功能.zip
09-29
springboot+redis实现网站限流接口防刷功能
kk-anti-reptile开源反爬虫接口防刷组件 v1.0.zip
03-25
kk-anti-reptile开源反爬虫接口防刷组件 v1.0.zip
接口安全----接口防刷(拦截器)
qq_47614329的博客
01-03 1074
接口安全----接口防刷(拦截器)
api接口防刷的多种策略(防止恶意接口行为)
w_l666的博客
02-18 684
6.网关:对于我们提供所有api接口,可以提供统一的API网关,它可以实现过滤、鉴权、限流等功能。用户请求我们的API接口时,需要先经过API网关,它转发请求到具体的API接口。5.日志监控和分析:监控接口请求日志,对异常请求进行识别和分析。通过监控异常请求的IP地址、请求路径、请求参数等信息,可以及时发现恶意接口行为,并采取相应的防御措施。综上所述,以上是一些常见的防止恶意接口行为的方法,可以根据具体场景选择适合的防御策略或者组合使用多种方式来提高安全性。
postman批量接口
xiaokita的博客
10-27 1236
postman批量跑接口 世界上本来没有bug的,代码写多了就有了 最近在处理线上的一批数据,多线程跑的接口,每次跑完发现会有遗漏那么几个数据没有处理[・ヘ・?],就我也觉得挺奇怪的,我不想找原因。。。直接解决掉这些该死的遗漏数据就完事了 那么问题来了。。。你说你遗漏一两个数据就算了,你漏了几百个,我调用几百次接口我疯了嘛??? 我总不能用按键精灵吧? 我们这么高级的程序媛对不对~我们至少得用剖斯特慢啊!! 上道具!!! 你正常调用的方式你自己先搞清楚 假设我们就是要用POST方法调用这个接口http
springboot相同IP限制接口访问次数(AOP事物)
weixin_46063418的博客
04-19 1211
文章转载自:https://blog.csdn.net/befroe_You/article/details/83748927 用于自己学习 应用场景:应项目需求,前后台分离,增强接口安全,限制相同IP访问接口的次数有限 解决:在项目中增加事物,在进接口方法前处理 思路: 1)@Before 在进入接口方法之前进入处理,within里面的书写表示写在控制器上方并且有对应注解的控制器会来到这里。 2)用获取的IP+对应url作为key,存到redis中,如果Redis存在这个key,然后时间处理器在超过设置时
Java 接口防刷处理方案
clixinchao的博客
04-28 1177
在一个高访问量的 Web 应用程序中,用户可能通过接口的方式,大量消耗系统资源,从而导致系统崩溃。本文介绍了基于 Java 的接口防刷处理方案,包括限制请求频率和限制并发请求数两个方面。1. 限制请求频率:对于同一个 IP 地址,限制其请求某个接口的频率。具体来说,可以采用 Token Bucket 算法,每次请求从 Token Bucket 中取出一个 Token,如果 Token Bucket 为空,则拒绝请求。具体来说,可以采用信号量机制,每次请求前先获取一个信号量,如果信号量已满,则拒绝请求。
通过Request限制访问网站请求并发量
weixin_41422086的博客
03-30 1205
一、场景 针对开放在公网上的网站可能会被攻击,必须一定的安全措施,需要对并发进行限制,如限制网站的并发量或是单个IP短时间的登录次数、token认证等。 二、代码实现 以下是通过监控、记录网站的request请求数量,实现并发限制。 1.在配置文件中配置最大同时请求数 #####最大同时请求数 visitor.order.online.count=100 2.首先实现ServletRequest...
Spring Cloud Gateway获取requestBody异常,DataBufferLimitException:Exceeded limit on max bytes to buffer :
weixin_39483907的博客
12-25 3364
Spring Cloud Gateway获取requestBody异常,DataBufferLimitException:Exceeded limit on max bytes to buffer : 262144 问题描述 gateway网关层进行了参数的加解密操作,但是由于加解密比较复杂,造成参数过多,参数值也比较长,导致网关报错,查询日志发现报org.springframework.core.io.buffer.DataBufferLimitException:Exceeded limit..
springboot接口防刷
04-01
为了防止恶意攻击和频繁请求,可以采取以下措施防止接口防刷: 1. 接口限流:设置接口每秒钟、每分钟或每小时的访问次数,超过限制的请求直接返回错误码或被阻止。 2. 接口认证:要求用户必须登录并携带有效的访问令牌(如JWT)才能访问接口,以确保用户身份的合法性。 3. 记录IP地址:记录每个请求的IP地址,如果同一IP地址的请求频率过高,则可以进行限制。 4. 验证码:对于某些可能涉及用户隐私或需要高级权限的接口,可以要求用户输入验证码才能访问。 5. 人机验证:对于高频次的访问请求,可以通过人机验证来确保请求来自于真实用户而非恶意攻击。 6. 接口监控:监控接口的访问情况,发现异常请求及时进行处理。 综合采取以上措施可以有效地防止接口防刷

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值