安全优化--秒杀接口地址的隐藏

最新推荐文章于 2023-01-10 17:27:54 发布
最新推荐文章于 2023-01-10 17:27:54 发布
阅读量1k 收藏
点赞数
分类专栏: 系统设计

安全优化--秒杀接口地址的隐藏

 

秒杀接口地址隐藏:每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。

思路:

1.在进行秒杀之前,先请求一个服务端地址,/getmiaoshaPath 这个地址,用来获取秒杀地址,传参为 商品id,在服务端生成随机数(MD5)作为pathId存入缓存,(缓存过期时间60s),然后将这个随机数返回给前端.

2.获得该pathid,后 前端在用这个pathid拼接在Url上作为参数,去请求domiaosha服务

3.后端接收到这个pathid 参数,并且与 缓存中的pathid 比较。

如果通过比较,进行秒杀逻辑,如果不通过,抛出业务异常,非法请求。

 

  1. /*点击秒杀之后 就访问后端 获取一个秒杀地址pathId*/

  2. function getMiaoshaPath() {

  3. $.ajax({

  4. url :"/miaosha/getPath",

  5. type : "GET",

  6. data:{

  7. goodsId :$("#goodsId").val(),

  8. verifyCode : $("#verifyCode").val()

  9. },

  10. success:function(data){

  11. if (data.code ==0) {//

  12. var path = data.data

  13. domiaosha(path)

  14. }else {

  15. layer.msg(data.message)

  16. }

  17. },

  18. error :function () {

  19. layer.msg("客户端错误")

  20. }

  21. })

  22.  

  23. }

  24.  

  25. function domiaosha(path){

  26. $.ajax({

  27. url :"/miaosha/"+path+"/do_miaosha",//安全优化,带着这个path去访问

  28. type : "POST",

  29. data:{

  30. goodsId :$("#goodsId").val()

  31. },

  32. success:function(data){

  33. if (data.code ==0) {//成功 就跳转 订单页面 并传入 orderid

  34. // window.location.href= "/order_detail.htm?orderId="+data.data.id;

  35. //若果返回成功,即表示收到请求,等待中

  36. getMiaoshaResult($("#goodsId").val());

  37. }else {

  38. layer.msg(data.message)

  39. }

  40. },

  41. error :function () {

  42. layer.msg("客户端错误")

  43. }

  44. })

  45. }

  46.  

  47. /**

  48. * 安全优化之 ---接口地址随机化(隐藏)

  49. * 1.点击秒杀之后,先访问该接口生成一个pathId,并存入redis 返回前端

  50. * 2.前端带着这个pathId去访问秒杀接口,如果传入的path和从redis取出的不一致,就认为 非法请求

  51. */

  52. @AccessLimit(seconds = 5,maxCount = 5,needLogin = true)

  53. @RequestMapping(value = "/getPath", method = RequestMethod.GET)

  54. @ResponseBody

  55. public Result<String> getPath(HttpServletRequest request,MiaoshaUser user, Model model,

  56. @RequestParam("goodsId") long goodsId,

  57. @RequestParam(value = "verifyCode")String verifyCode) {

  58. if (user == null) {

  59. return Result.error(CodeMsg.SESSION_ERROR);

  60. }

  61.  
  62.  

  63. String str = UUIDUtill.uuid();

  64. /*随机生成 一个 pathId 返回给前端*/

  65. String pathId = Md5Util.md5(str + "1111");

  66. redisService.set(MiaoshaKey.getMiaoshaPath, "" + user.getId() + goodsId, pathId);

该操作:可以为了防止,恶意用户登陆之后,获取token的情况下,通过不断调用秒杀地址接口,来达到刷单的恶意请求。

每次的url都不一样,只有真正点击秒杀按钮,才会根据商品和用户id生成对应的秒杀接口地址。

 

但是,这种情况仍然不能解决 利用 按键精灵或者 机器人 频繁点击按钮的操作,为了降低点击按钮的次数,以及高并发下,防止多个用户在同一时间内,并发出大量请求,加入数学公式图形验证码等防高并发优化

hongmingover
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java开发商品秒杀+限流+限时抢购+隐藏接口源码.zip
06-02
Java开发商品秒杀+限流+限时抢购+隐藏接口源码。适用于高并发场景下商品秒杀,包含内容商品超卖问题、接口访问限流问题、Redis限时抢购、隐藏秒杀接口、单用户限制访问频率!为什么使用秒杀】 严格防止超卖 库存100件 你卖了120件 等着辞职吧! 防止黑客 假如我们网站想下发优惠给群众,但是被黑客利用技术将下发给群众的利益收入囊中 保证用户体验 高并发场景下,网页不能打不开、订单不能支付 要保证网站的使用 搭建数据库 create database stockdb; use stockdb; # 用户 create table `user`( uid int primary key auto_increment, uname varchar(100), upwd varchar(50) ); # 商品 create table stock( id int primary key auto_increment, `name` varchar(50), `count` int, #库存数量 sale int, #已售 `version` int #版本号(乐观
隐藏秒杀接口地址
阳某的博客
01-06 2363
隐藏秒杀地址 隐藏秒杀接口地址后,确保秒杀开始前没有人知道地址。http是明文传输的,访问的url,参数都可见,若不做隐藏,恶意用户可以在秒杀活动开始前就访问秒杀接口地址秒杀项目完整代码地址:https://github.com/yang-mou/miaosha.git 思路: 1、第一次请求后台先验证用户是否登录和验证码是否正确,生成随机地址存入redis并且返回 2、带着地址请求后台,后...
使用 Django Rest Framework 向前端展示接口
IT小村
07-31 5197
前言 之前 Java 开发,基于前后端分离,使用 swagger 向前端展示接口前端则可以清晰地调用接口,进行页面渲染等操作。 参考文献:Django REST framework 官网 近来为了部署项目中用 python 编写 AI 算法接口,为了无缝对接,使用了基于 python 的 Django,为了展示接口等其他复杂操作,使用了基于 Django 的 Django Rest Fra...
html隐藏后端接口,HTML直接调用REST后台
weixin_29535577的博客
06-03 602
REST作为Web服务已经越来越走向主流,SOAP大概只能用在更为复杂的场景,在技术上有些过于复杂,相反REST更容易设置。但是REST需要客户端一些特别代码,在RIA架构中运用比较多,这样使得RIA更象浏览器,但是因为浏览器兼容问题,浏览器本身不能对REST后台直接操作还有些问题,这也使得现在MVC框架继续流行使用的原因。现在普通浏览器支持的是Html4,而Html 4中对 FORM 的meth...
秒杀接口隐藏方法
pol56815156的博客
01-10 175
秒杀接口隐藏 思路 秒杀开始后,点击秒杀按钮不是直接进行秒杀,而是获取秒杀接口地址。 每个人获得的秒杀地址都不一样。 获取到秒杀接口地址后,在进行秒杀操作 这种操作如何防止脚本? 秒杀接口并不是真正的秒杀接口,即使脚本知道这个秒杀接口也无法进行秒杀,时间到了才能获取到地址,并且地址具有一分钟的失效时间,等获取到了这个地址,添加进脚本的时候,已经被抢光了。 优化秒杀接口->秒杀...
【程序安全】- 接口地址隐藏
Brooks Lv
02-01 6914
理解:比如秒杀或抢购场景中,如果用户提前知道了接口地址,就可能出现狂刷接口的现象,为了防止这种情况发生,最好的方法就是不让用户获取到秒杀接口地址。有一种实现方式就是隐藏接口地址,所谓的隐藏是指,秒杀地址每次都是不同的,而且在地点秒杀按钮后,会先调用后端接口获取一个pathId,然后传回前端,拼接在秒杀接口上,再请求秒杀接口地址,这样每次点击按钮后,才会生成真正的秒杀接口地址。 好处:可以防止接口泄...
秒杀接口隐藏策略
pol56815156的博客
01-10 184
秒杀开始后,点击秒杀按钮不是直接进行秒杀,而是获取秒杀接口地址。每个人有专属秒杀地址,一定程度上防止了简单的脚本。
秒杀系统学习笔记,限时抢购,抢购接口隐藏
今晨的个人博客
11-05 533
限时抢购的实现 使用Redis来记录秒杀商品的时间,对秒杀过期的请求进行拒绝处理! 将秒杀商品放入Redis中并设置过期时间 使用String类型以kill+商品id的形式作为key以商品id作为value设置一定的过期时间(这里设置为180秒) 引入Redis依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-d
秒杀项目学习第七章
我不是什么好人
05-30 349
主要内容 秒杀接口地址隐藏 数学公式验证码 接口防刷 一、秒杀接口隐藏 思路:秒杀开始之前,先去请求接口获取秒杀地址 接口改造,带上PathVariable参数 添加生成地址接口 秒杀收到请求,先验证PathVariable 修改页面 就是在真正秒杀之前,加一层获取路径。 修改Controller 生成path,并写入Redis中,以便秒杀时可以验证路径 秒杀时从redis中取出路径进行验证 一个小修改 为了减少服务器压力,客户端秒杀轮询的时候时间间隔调大点 二、数学公式验证码 思路:点击
spring-boot-seckill分布式秒杀系统-其他
06-12
6、最后,为了支撑更高的并发,追求更好的性能,可以对服务器的部署模型进行优化,部分请求走正常的秒杀流程,部分请求直接返回秒杀失败,缺点是开发部署时需要维护两套逻辑。 分层优化 1、前端优化:活动开始前生成...
电商项目--高并发秒杀优化-miaosha.zip
11-04
电商项目--高并发秒杀优化-miaosha
spring-boot-seckill分布式秒杀系统 v1.0/java秒杀系统源码+安装说明
08-08
spring-boot-seckill分布式秒杀系统是一个用SpringBoot开发的从0到1构建的分布式秒杀系统,项目案例基本成型,逐步完善中。 开发环境: JDK1.8、Maven、Mysql、IntelliJ IDEA、SpringBoot1.5.10、zookeeper3.4.6、...
Java秒杀系统方案优化-高性能高并发实战
04-16
Java秒杀系统方案优化-高性能高并发实战 Java秒杀系统方案优化-高性能高并发实战
spring-boot-seckill分布式秒杀系统源代码
03-18
spring-boot-seckill分布式秒杀系统是一个用SpringBoot开发的从0到1构建的分布式秒杀系统,项目案例基本成型,逐步完善中。 开发环境: JDK1.8、Maven、Mysql、IntelliJ IDEA、SpringBoot1.5.10、zookeeper3.4.6、...
nguSeckill-master_秒杀_ssm_
10-04
基于SSM框架的高并发的商品秒杀项目源代码
Seckill-SSM-master - 秒杀系统源码
12-18
Seckill-SSM-master - 秒杀系统源码 - 详情:https://blog.csdn.net/Dream_Weave/article/details/85060813
swift-iOS模仿淘宝秒杀界面
08-15
iOS模仿淘宝秒杀界面
秒杀-秒杀系统-秒杀系统源码-秒杀管理系统-秒杀管理系统java代码-基于springboot的秒杀系统-秒杀项目代码-代码
最新发布
04-17
秒杀-秒杀系统-秒杀系统源码-秒杀管理系统-秒杀管理系统java代码-秒杀系统设计与实现-基于springboot的秒杀系统-基于Web的秒杀系统设计与实现-秒杀网站-秒杀网站代码-秒杀平台-秒杀平台代码-秒杀项目-秒杀项目代码-...
Jemter怎么压测商品秒杀接口
07-16
你可以使用JMeter来压测商品秒杀接口。下面是一些步骤: 1. 首先,确保你已经安装了JMeter。你可以从官方网站下载并安装JMeter。 2. 打开JMeter,创建一个新的测试计划。在测试计划上右键点击,选择"添加" -> "线程组"。线程组是一组并发用户,用于模拟多用户同时访问系统。 3. 在线程组上右键点击,选择"添加" -> "Sampler" -> "HTTP请求"。在HTTP请求中设置秒杀接口的URL和请求方法(如POST或GET)。 4. 在HTTP请求中设置请求参数。根据商品秒杀接口的要求,添加必要的参数,如商品ID、用户ID等。 5. 可以设置线程组的并发用户数和循环次数,以模拟多用户同时进行秒杀操作。 6. 添加监听器来查看测试结果。在线程组上右键点击,选择"添加" -> "监听器" -> "聚合报告"。聚合报告将显示每个请求的响应时间、吞吐量等信息。 7. 运行测试计划,查看压测结果。你可以根据聚合报告中的数据来评估商品秒杀接口的性能和稳定性。 请注意,在进行商品秒杀接口的压测时,需要确保你已经了解接口的设计和限流策略,并遵守相关的使用规则,以免对系统造成不必要的负担。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值