使用Spring Boot拦截器实现时间戳校验以防止接口被恶意刷

已于 2024-09-03 15:44:33 修改
阅读量546 收藏 10
点赞数 7
分类专栏: java springboot 文章标签: spring boot 后端 java
于 2024-09-03 15:37:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012748043/article/details/141863421
版权

使用Spring Boot拦截器实现时间戳校验以防止接口被恶意刷

在开发Web应用程序时,接口被恶意刷请求(例如DDoS攻击或暴力破解)是一个常见的安全问题。为了提高接口的安全性,我们可以在服务端实现时间戳校验,以确保请求的合法性。本文将介绍如何在Spring Boot中使用拦截器来实现一个通用的时间戳验证机制。

一、为什么需要时间戳校验?

时间戳校验是一种简单而有效的安全措施。通过在请求中携带一个带有校验位的时间戳,服务端可以验证该请求是否是有效的。这样可以防止请求被重放或者被批量自动化刷请求,从而提升系统的安全性。

二、时间戳校验的设计思路

为了增加校验的难度,可以采用以下策略:

  1. 混淆时间戳和随机数:将当前的时间戳和一个随机数结合起来,然后进行混淆处理(如位操作)。
  2. 多重校验位:使用多位校验位而不是一位,这样增加猜测的难度。
  3. 非线性算法:使用非线性算法(如基于哈希或加密的算法)来生成校验位,增加逆向工程的难度。

三、时间戳校验的实现

1. 客户端代码

假设客户端使用JavaScript来生成带有校验位的时间戳:

javascript复制代码function generateTimestampWithCheckDigits() {
    const timestamp = Date.now(); // 获取当前的13位毫秒级时间戳
    const randomNum = Math.floor(Math.random() * 1000); // 生成一个三位随机数

    const mixedValue = mixTimestampAndRandom(timestamp, randomNum); // 混合时间戳和随机数
    const checkDigits = calculateCheckDigits(mixedValue); // 计算多位校验位

    return `${timestamp}${randomNum}${checkDigits}`; // 最终的值由时间戳、随机数和校验位组成
}

function mixTimestampAndRandom(timestamp, randomNum) {
    // 将时间戳和随机数进行混淆操作,例如简单的位操作
    return (BigInt(timestamp) ^ BigInt(randomNum)).toString();
}

function calculateCheckDigits(mixedValue) {
    // 使用更复杂的算法计算多位校验位,例如哈希算法或非线性函数
    let sum = 0;
    for (let i = 0; i < mixedValue.length; i++) {
        sum += parseInt(mixedValue.charAt(i)) * (i + 1); // 简单的非线性权重
    }
    return (sum % 97).toString().padStart(2, '0'); // 返回两位校验位
}

const timestampWithCheckDigits = generateTimestampWithCheckDigits();
console.log("Generated Timestamp with Check Digits: ", timestampWithCheckDigits);

客户端生成一个当前的13位毫秒级时间戳,并生成一个随机数。然后,将两者结合并混淆后,计算出校验位。最终,将时间戳、随机数和校验位组合成一个字符串,发送到服务端。

2. 服务端代码(Spring Boot)

在服务端,我们使用Spring Boot的拦截器来拦截所有HTTP请求,并对时间戳进行校验。

TimestampInterceptor.java

java复制代码import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class TimestampInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String timestamp = request.getParameter("timestamp");

        if (timestamp == null || !isValidTimestamp(timestamp)) {
            response.setStatus(HttpServletResponse.SC_BAD_REQUEST);
            response.getWriter().write("Invalid timestamp");
            return false;
        }

        return true;
    }

    private boolean isValidTimestamp(String timestamp) {
        if (timestamp.length() != 18) { // 13位时间戳 + 3位随机数 + 2位校验位
            return false;
        }

        String originalTimestamp = timestamp.substring(0, 13);
        String randomNum = timestamp.substring(13, 16);
        String providedCheckDigits = timestamp.substring(16, 18);

        String mixedValue = mixTimestampAndRandom(originalTimestamp, randomNum);
        String calculatedCheckDigits = calculateCheckDigits(mixedValue);

        return providedCheckDigits.equals(calculatedCheckDigits);
    }

    private String mixTimestampAndRandom(String timestamp, String randomNum) {
        long timestampLong = Long.parseLong(timestamp);
        int randomNumInt = Integer.parseInt(randomNum);
        return String.valueOf(timestampLong ^ randomNumInt); // 与客户端相同的混淆操作
    }

    private String calculateCheckDigits(String mixedValue) {
        int sum = 0;
        for (int i = 0; i < mixedValue.length(); i++) {
            sum += Character.getNumericValue(mixedValue.charAt(i)) * (i + 1);
        }
        return String.format("%02d", sum % 97); // 计算两位校验位
    }
}

WebConfig.java

java复制代码import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private TimestampInterceptor timestampInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(timestampInterceptor)
                .addPathPatterns("/**"); // 拦截所有路径的请求
    }
}

TimestampInterceptor中,我们重写了preHandle方法,获取请求中的时间戳参数,并调用isValidTimestamp方法来验证时间戳的合法性。如果时间戳不合法,则返回400错误。

四、效果与优化

通过以上实现,所有请求在到达Controller之前,都会先经过时间戳校验。这种方式可以有效防止接口被恶意刷请求,保护系统的安全性。

进一步优化
  • 时间窗口验证:可以进一步增加时间戳的有效时间范围,例如,时间戳必须在当前时间的前后一分钟之内。
  • 动态秘钥:可以引入动态秘钥来进一步混淆校验算法,使得破解更加困难。
  • 分布式缓存:使用分布式缓存(如Redis)记录已接收的时间戳,防止重放攻击。

五、总结

通过Spring Boot的拦截器,我们可以非常方便地在所有请求之前进行时间戳校验。这种通用的解决方案不仅提高了系统的安全性,而且易于维护和扩展。您可以根据实际需求对校验算法进行调整和优化,确保接口的安全性。

希望本文能对你在防止接口被恶意刷请求方面提供一些有用的思路和参考!

德墨忒尔
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot入门(25):三位程序员谁能守护项目入口?- 过滤器、拦截器、监听器的对比及使用场景
**My Coding Family**
08-25 1928
Spring Boot 如何使用过滤器、拦截器、监听器对比及使用场景,一文带你吃透它。
SpringBoot 系列教程(八十五):Spring Boot使用MD5加盐验签Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 8433
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
Spring Boot实现接口签名验证
涛哥是个大帅比
04-23 3175
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
Spring Boot 使用过滤器、拦截器、监听器
qq_64948664的博客
03-27 1331
作用过滤器(Filter):当有一堆请求,只希望符合预期的请求进来。拦截器(Interceptor):想要干涉预期的请求。监听器(Listener):想要监听这些请求具体做了什么。区别过滤器是在请求进入容器后,但还没有进入 Servlet 之前进行预处理的。如下图所示。拦截器是在请求进入控制器(Controller) 之前进行预处理的。
Spring Boot拦截器学习笔记
xunming的专栏
09-21 805
spring boot拦截器 带签名
springboot使用拦截器拦截验证签名sign
wuxiao3816的博客
04-25 2723
1生成签名 2使用拦截器验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截器 2.5配置拦截器 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
Spring Boot 完整讲解
热门推荐
可乐的博客
02-28 2万+
SpringBoot学习笔记 文章写得比较详细,所以很长(105336 字数),可以参考目录 文章目录SpringBoot学习笔记@[toc]一、 Spring Boot 入门预:必须掌握的技术:1. Spring Boot 简介背景解决的问题优点缺点2.微服务What are Microservices?单体应用微服务3.环境准备Maven设置:Idea设置4.Spring Boot Hel...
Spring Boot 实战】统一数据返回格式的最佳实践:构建稳定的RESTful API(实战篇)
欢迎来到我的技术空间!我是一名经验丰富的Java开发工程师,热衷于分享我在软件开发领域的知识和心得。在这个博客里,您会发现一系列关于Java编程的文章,包括最佳实践、技术趋势、代码优化技巧以及一些有趣的项目案例。无论是初学者还是有经验的开发者,都能在这里找
08-30 1191
本文提供了一套全面的Spring Boot应用开发指南,重点介绍如何设计和实现统一的数据返回格式。通过定义ResponseResult类和枚举状态码ResponseCode,确保API响应的一致性。此外,还介绍了如何创建全局异常处理器GlobalExceptionHandler来处理各种异常,并通过MockMvc进行集成测试以验证功能。最后,文章还探讨了国际化支持和自定义错误页面等高级主题,帮助开发者构建更加健壮和用户友好的RESTful API。
Spring Boot中处理JSON日期格式
fengyanglian的博客
08-30 743
Spring Boot中处理JSON日期格式
Spring Boot-自定义banner
最新发布
m0_56131422的博客
09-03 198
Spring Boot 应用中,你可以自定义启动时显示的 banner。默认情况下,Spring Boot 使用项目的 banner.txt 文件中的内容作为启动时的 banner。在你的 Spring Boot 主类中,你可以配置应用以使用自定义 Banner。如果你需要更高级的自定义,例如动态生成 banner 或从外部源加载,可以通过编写一个。实现 org.springframework.boot.Banner 接口,并。的文件,并在其中放入自定义的 ASCII 艺术或文本。
Spring Boot 3.3新特性解析:CDS支持与Base64配置
weixin_40381772的博客
09-03 473
Spring Boot 3.3.0 已经发布,其中包含对 CDS支持与Base64配置。 CDS(Class Data Sharing)是一项JVM功能,允许在多个JVM实例之间共享类元数据,从而减少应用程序的启动时间和内存占用。Spring Boot 3.3提供了对CDS的支持,使得开发者可以更容易地创建与CDS兼容的应用布局。
Spring Boot如何压缩Json并写入redis?
HBLOG
08-27 1283
由于业务需要,存入redis中的缓存数据过大,占用了10+G的内存,内存作为重要资源,需要优化一下大对象缓存,采用gzip压缩存储,可以将 redis 的 kv 对大小缩小大约 7-8 倍,加快存储、读取速度。JSON经过gzip压缩,371-->58, 数据大小减少7-8倍。以上只是一些关键代码,所有代码请参见下面代码仓库。可以看到redis里面存储的是gzip压缩的内容。详建redis模块的docker目录。
使用Spring Boot集成Redis缓存
qq_62512874的博客
09-03 1132
通过本文,您已经了解了如何在Spring Boot中集成Redis并进行基本的缓存操作。Redis缓存不仅可以提升应用的性能,还能减少对数据库的压力,是一个非常实用的工具。在实际项目中,根据业务需求合理配置和使用Redis,将会为您带来显著的性能提升。
Spring Boot 入门
ksn5461378的博客
08-30 2080
Spring Boot通过使用特定的配置方式,使得开发人员不再需要定义样板化的配置,从而在快速应用开发领域成为领导者。它的设计目的是为了消除大量的配置工作,通过自动配置来简化项目的创建和运行过程,使得开发者能够更快速地构建和部署基于Spring的应用。Spring Boot遵循“约定优于配置”的原则,集成了绝大部分流行的开发框架,就像Maven集成了所有的JAR包一样,Spring Boot集成了几乎所有的框架,从而使得开发者能快速搭建Spring项目。
深入解析 Spring Boot 中 MyBatis 自动配置的流程
weixin_54574094的博客
08-30 2587
标记当前类为配置类,相当于。:启用自动配置机制。:自动扫描并加载指定包及其子包中的组件。这些注解共同作用,启动并配置 Spring Boot 应用。Spring Boot 启动注解启动了整个 Spring Boot 应用,触发机制。读取配置类从文件中读取 MyBatis 的自动配置类,并将其注入 Spring 容器。自动配置 MyBatis根据项目中的配置和依赖,自动配置 MyBatis 的核心组件。配置数据源:通过引入。
Spring Boot入门
hhgh_的博客
08-30 1124
Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。Spring Boot 默认配置了很多框架的使用方式,就像Maven整合了所有的Jar包,Spring Boot 整合了所有的框架。它的核心设计思想是:约定优于配置,Spring Boot 所有开发细节都是依据此思想进行实现的。
Spring Boot集成Spring Cloud Scheduler进行任务调度
技术研究中心
08-31 1384
任务调度是后端服务中常见的需求,用于执行定时任务或周期性的工作。Spring Cloud Scheduler提供了对Spring Boot应用的任务调度支持,允许开发者以声明式的方式配置和执行任务。Spring Cloud Scheduler为Spring Boot应用提供了强大的任务调度功能。首先,在Spring Boot项目中添加Spring Cloud Scheduler的依赖。注解,提供了更灵活的任务调度功能,并且支持多种调度源,如数据库、分布式配置中心等。注解来配置任务的执行计划。
初学者指南:Spring Boot入门
apple_64847327的博客
08-26 1798
在当今快速发展的软件开发领域,Spring Boot已经成为了构建现代Java应用程序的首选框架之一。它以其简洁、易用和强大的特性,帮助开发者快速搭建起基于Spring的应用程序。如果你是Java开发新手,或者正在寻找一种更高效的开发方式,那么Spring Boot无疑是一个值得学习的技术。Spring Boot是一个开源的Java框架,由Pivotal团队(现为VMware的一部分)开发。它基于Spring框架,旨在简化Spring应用程序的初始搭建和开发过程。
并发场景下,Spring Boot + Redis 实现接口限流和防
06-09
在并发场景下,为了保证接口的可靠性和稳定性,我们可以使用 Redis 来实现接口限流和防。 具体实现方法如下: 1. 首先,在 Spring Boot 项目中引入 Redis 相关的依赖,如 jedis、lettuce 等。 2. 在 Redis 中设置一个 key,用来记录请求次数或者时间戳等信息。 3. 在接口中加入拦截器,对请求进行拦截,并从 Redis 中获取相应的 key 值,判断是否达到限流和防的条件。 4. 如果达到条件,可以返回一个自定义的错误码或者错误信息,或者直接拒绝请求。 5. 如果没有达到条件,则更新 Redis 中的 key 值,并放行请求。 下面是一个简单的示例代码: ```java @Component public class RateLimitInterceptor implements HandlerInterceptor { private final RedisTemplate<String, String> redisTemplate; @Autowired public RateLimitInterceptor(RedisTemplate<String, String> redisTemplate) { this.redisTemplate = redisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String key = request.getRemoteAddr(); String value = redisTemplate.opsForValue().get(key); if (value == null) { redisTemplate.opsForValue().set(key, "1", 60, TimeUnit.SECONDS); // 60秒内最多访问1次 } else { int count = Integer.parseInt(value); if (count >= 10) { // 10次以上就限流 response.sendError(HttpStatus.TOO_MANY_REQUESTS.value(), "Too many requests"); return false; } else { redisTemplate.opsForValue().increment(key); } } return true; } } ``` 在上面的代码中,我们使用 Redis 记录了每个 IP 地址的访问次数,并且在 60 秒内最多只能访问 1 次。如果访问次数超过了 10 次,则返回状态码 429(Too many requests)。 当然,这只是一个简单的示例,实际应用中我们可能需要更加复杂的限流策略和防机制,但是基本原理都是类似的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值