api接口防刷的多种策略(防止恶意刷接口行为)

已于 2024-02-18 11:53:26 修改
阅读量706 收藏 8
点赞数 10
文章标签: 服务器 运维 spring java spring cloud log4j dubbo
于 2024-02-18 11:51:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_l666/article/details/136147784
版权
  1. 验证码:在需要保护的接口中添加验证码验证,要求用户在访问前先进行验证码验证,以确认其为真实用户。(我们在登陆时常用的图片验证码,滑块验证码)
  2. 用户身份认证和授权:对于有些查看对外的API接口,要求用户在访问API接口前进行身份认证,并根据用户的权限进行授权,只允许有权限的用户访问特定接口。
  3. ip白名单:对于项目中一些非常重要的接口(开通会员的接口),将调用方的服务所在ip添加至ip白名单中(ip白名单可以是一个配置文件,或者直接存储在数据库中),这样即使开通会员接口地址和请求参数被泄露了,调用者的ip不在白名单上,请求开通会员接口会直接失败。
  4. 接口限流:可以针对请求方的ip地址,或者其他的可以唯一确定用户身份的信息(登录时的用户账号)等,对指定接口在一段时间内的请求次数,进行限制。                                             如:我们常用的短信验证码登录接口。我们想对同一个手机号,进行60s内只进行一次请求,并且24小时内累计只能进行10次请求的限制操作。                                                                  实现方式是:当接口被调用时,将手机号,短信发送时间,等信息存入数据库。在redis中将手机号设置为key,用户请求的次数设置为value。设置过期时间是24小时。等用户发送请求过来时,首先根据手机号查找用户最近一次发送短信的时间,如果在60秒之内,则直接向前端返回403。如果不在,则查询redis中的24小时内短信发送的次数,如果超过10次,则直接返回403。反之,正常调用发送短信的业务。流程图如下:                                                           

5.日志监控和分析:监控接口请求日志,对异常请求进行识别和分析。通过监控异常请求的IP地址、请求路径、请求参数等信息,可以及时发现恶意刷接口行为,并采取相应的防御措施。

6.网关:对于我们提供所有api接口,可以提供统一的API网关,它可以实现过滤、鉴权、限流等功能。用户请求我们的API接口时,需要先经过API网关,它转发请求到具体的API接口。

综上所述,以上是一些常见的防止恶意刷接口行为的方法,可以根据具体场景选择适合的防御策略或者组合使用多种方式来提高安全性。

持续更新中................,关注不迷路。    

w_l666
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口手工防御被恶意调用和接口被攻击
03-29
通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据 本地加密混淆,以上提到的加解密数据和算法,不要直接放在本地代码,因为很容易被反编译和破解,建议放到独立模块中去,并且函数名称越混淆越难读越安全。 User-Agent 和 Referer 限制 ap
iOS技术文档 ---- 苹果充值文档(包含防刷策略等整理)
10-18
这是有关于苹果内购文档的集合,里面主要讲述了内购流程的实现原理!以及苹果充值因苹果保密规则衍生的一系列单手段的防刷策略
如何优雅的实现接口防刷,看过来!!!
ybb_ymm的专栏
04-07 1810
我们的签名就是为了防止攻击者对我们的timestamp人工更改所作的措施,毕竟攻击者从抓包到重放请求已经远超过了60S,这个时候参数中的timestamp已经过期了,如果攻击者更改时间错,则数字签名就会校验失败。因为,攻击者是不知道签名秘钥的。这一方案,timestamp和nonceStr两者作为签名的一部分传到了后端,鉴于上面的timestamp方案使得攻击者只能在60S内进行了重放攻击操作,我们有通过了nonceStr随机数进行了60S内只能进行一次接口调用,则保证了我们接口避免重放攻击的漏洞!
API接口防刷的几种方案,你知道哪些?
最新发布
qq_38860250的博客
05-16 328
限制来自单个IP地址、用户或应用程序的请求频率,设置最大请求次数或请求速率,并采取适当的措施来处理超出限制的请求,例如返回错误码或延迟响应。:监控和分析用户或应用程序的行为模式,识别异常的访问模式和活动,并采取相应的措施,例如暂时禁止访问或增加验证码验证。:在API接口的前端部署防火墙或反向代理,对请求进行过滤和检查,防止恶意流量和攻击,例如DDoS攻击。监控API接口的访问日志,及时发现异常请求,例如某个P频繁请求同一接口,及时采取相应的安全措施。
页面接口防刷 解决思路一nginx
weixin_33862041的博客
01-09 969
线上环境 很多接口 如果不做缓存 可能导致有人拿到url  每秒几万次的访问后台程序,导致系统down机.此处, nginx可以加一层缓存.   expires起到控制页面缓存的作用,合理的配置expires可以减少很多服务器的请求要配置expires,可以在http段中或者server段中或者location段中加入PS. 可以限制单个接口的访问 location ~ ^/user/ { ...
JAVA面试题分享二百五十三:接口被恶10Wqps,怎么防?
之乎者也·的博客
12-15 995
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常见的访问控制策略,它将用户分配到不同的角色中,每个角色具有一组权限,从而控制用户对系统资源的访问。在接口服务端对接口请求进行校验时,按照相同的算法计算签名值,并与请求中的签名值进行比对,如果一致,则说明请求合法,否则说明请求不合法。在 Shiro 中,授权是通过授权信息和角色信息来实现的。访问日志监控是一种常见的监控方式,用于监控网站、应用程序等的访问情况,可以帮助我们了解用户的行为和需求,以便做出相应的优化和改进。
Java接口防刷策略(自定义注解实现)
single_cong的博客
06-01 6355
目的 短信发送及短信验证码校验接口防刷 一方面防止用户循环调用短信验证码 另一方面防止用户循环调用测短信验证码(一般短信验证码为6位纯数字,一秒钟上百次调用,如果不做限制很快就能试出来了) 很多接口需要防止前端重复调用 误操作多次点击,不属于攻击类型,正常用户经常会触发的,例如信息发布可能前端限制未做好,误点击了多次,这种情况实际上应该只记录第一次的,后续的不应该继续操作数据库。 极端的情况 可能很多接口一天或者很长时间只能调用一次(类似签到?个人想法是尽量不让数据到了数据库层再抛异常) 解决措施 利
应用服务防刷策略
u013465194的博客
10-31 806
最近工作中遇到一个问题,公司运营团队(约100人)要对每日的订单进行审核,一般早上单量比较集中,但是到了下午单量就会变少,所以这边客服为了保证能够实时的进行有订单进来,一直会按着F5新页面,有时候确实没单子,但是100人同时一直按着F5不松手,导致服务器压力很大,观察日志一个客服评价每秒钟请求量达到3次。一个服务接口5分钟的请求量达到8w,多么可怕的一个数字。 所以针对这个接口,利用redis,...
优雅的接口防刷处理方式,看这一篇就够了
小学生波波
09-22 3471
优雅的接口防刷处理方式
接口如何防止,教你有效的8种方法
m0_66326520的博客
02-23 1784
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口恶意
Java后台接口防裸奔的解决方案
03-19
Java后台接口防裸奔的解决方案,简单易懂,让你的接口不再裸奔
api.zip_API_UVB_天易api文档_天易接口
09-24
API_UVB_天易api文档_天易接口》是一个关于天易平台接口开发的重要资料集,主要包含点卡支付、综合渠道支付以及网银支付等关键接口的开发指南。这个压缩包为开发者提供了详尽的接口规范和示例代码,帮助他们更好地...
kk-anti-reptile开源反爬虫接口防刷组件 v1.0.zip
03-25
这款组件适用于各种基于HTTP的API接口,尤其对于那些需要限制请求频率、防止恶意接口的应用场景极为有效。 源码是软件开发的基础,通过开源,开发者可以深入理解kk-anti-reptile的工作机制,自定义防刷策略,或者...
三方支付接口自动到账程序 v1.0
11-30
同时,防止恶意攻击和欺诈行为,如SQL注入、XSS跨站脚本攻击等。 4. **状态跟踪与日志记录**:程序需跟踪每笔交易的状态,从订单创建到支付成功或失败,确保所有环节都有记录。日志系统可以帮助排查交易异常,为...
接口测试入门到实战精通-【软件测试】
06-30
- **需求分析**:理解接口的功能和预期行为。 - **设计测试用例**:根据接口规范编写测试场景,考虑边界条件和异常情况。 - **数据准备**:构造有效的输入数据和预期的输出结果。 - **执行测试**:使用测试工具...
域名接口查询
06-10
- **安全检测**:检查域名的WHOIS信息,识别潜在的欺诈或恶意行为。 - **数据分析**:收集大量域名的统计信息,进行市场研究或网络趋势分析。 在开发过程中,需要注意的是,频繁的接口调用可能会导致服务方限制或者...
接口如何防止
liujiang的博客
07-15 5128
接口如何防刷 1:网关控制流量洪峰,对在一个时间段内出现流量异常,可以拒绝请求 2:源ip请求个数限制。对请求来源的ip请求个数做限制 3:http请求头信息校验;(例如host,User-Agent,Referer) 4:对用户唯一身份uid进行限制和校验。例如基本的长度,组合方式,甚至有效性进行判断。或者uid具有一定的时效性 5:前后端协议采用二进制方式进行交互或者协议采用签名机制 6:人机验证,验证码,短信验证码,滑动图片形式 ...
今天跟大家聊一聊优雅的接口防刷处理方案.
2301_76936922的博客
04-16 278
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。如果你的接口在外网裸奔,黑客只需要知道接口的地址和参数就可以调用,这将导致严重的安全威胁。
帮我写一个springboot接口防刷的切面
08-08
### 回答1: 当然可以,下面是一个使用 Spring AOP 实现防刷接口的示例: 1. 创建一个注解,用于标识要进行防刷接口: ``` import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AccessLimit { int seconds(); int maxCount(); boolean needLogin() default true; } ``` 2. 创建一个切面,在切点中使用上述注解,并在通知中进行防刷的逻辑处理: ``` import java.util.concurrent.TimeUnit; import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Pointcut; import org.aspectj.lang.reflect.MethodSignature; import org.springframework.context.annotation.Configuration; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.data.redis.core.script.DefaultRedisScript; import org.springframework.data.redis.core.script.RedisScript; @Aspect @Configuration public class AccessLimitAspect { private final RedisTemplate<String, Object> redisTemplate; public AccessLimitAspect(RedisTemplate<String, Object> redisTemplate) { this.redisTemplate = redisTemplate; } @Pointcut("@annotation(com.example.demo.annotation.AccessLimit)") public void accessLimitPointcut() { } @Around("accessLimitPointcut()") public Object around(ProceedingJoinPoint joinPoint) throws Throwable { MethodSignature signature = (MethodSignature) joinPoint.getSignature(); AccessLimit accessLimit = signature.getMethod().getAnnotation(AccessLimit.class); int seconds = accessLimit.seconds(); int maxCount = accessLimit.maxCount(); boolean needLogin = accessLimit.needLogin(); StringBuilder keyBuilder = new StringBuilder(); keyBuilder.append(signature.getDeclaringTypeName()).append(".").append(signature.getName()); if (needLogin) { // 如果需要登录,则将用户的登录信息作为 key 的一部分 keyBuilder.append( ### 回答2: Spring Boot提供了AOP(面向切面编程)的支持,可以通过切面来实现接口防刷功能。 首先,需要引入`spring-boot-starter-aop`依赖包。 接下来,创建一个切面类(如`RateLimitAspect`),并加上`@Aspect`和`@Component`注解,表示该类是一个切面并且会被Spring Boot自动扫描。 在切面类中定义一个切点,用于指定哪些方法需要进行防刷操作。可以使用`@Pointcut`注解来定义切点表达式,如下所示: ```java @Pointcut("execution(public * com.example.demo.controller.*.*(..))") public void rateLimit() {} ``` 上面的切点表达式表示拦截`com.example.demo.controller`包下的所有公共方法。 然后,在切面类中定义一个环绕通知方法,用来实现具体的防刷逻辑。可以使用`@Around`注解来声明环绕通知,并在方法中编写相应的逻辑,如下所示: ```java @Around("rateLimit()") public Object doRateLimit(ProceedingJoinPoint joinPoint) throws Throwable { // 实现防刷逻辑 // 获取方法参数 Object[] args = joinPoint.getArgs(); // 根据方法参数进行限流 // 如果达到限流条件,可以抛出异常或者返回一个自定义的错误信息 // 没有达到限流条件,则继续执行原方法 Object result = joinPoint.proceed(args); return result; } ``` 上面的代码中,`ProceedingJoinPoint`对象表示连接点(被拦截的方法),通过调用`getArgs()`方法可以获取方法的参数。 在`doRateLimit()`方法中,我们可以根据具体的业务需求实现防刷逻辑,比如进行计数、限制访问频率等操作。 最后,需要在`application.properties`文件中配置AOP的开关,添加如下配置: ``` spring.aop.auto=true ``` 这样,通过切面和环绕通知的配合,就可以实现接口防刷功能了。当有请求访问被切点定义的方法时,会先经过切面的处理,然后再执行原方法。 ### 回答3: Spring Boot提供了AOP(Aspect Oriented Programming)的功能,可以很方便地实现接口防刷的切面。 首先,在Spring Boot项目中引入相关的依赖,包括`spring-boot-starter-aop`和`javax.annotation-api`。 接着,在项目的配置类上添加`@EnableAspectJAutoProxy`注解,开启AOP的自动代理功能。 然后,定义一个自定义注解`@AntiSpam`,用于标记需要进行接口防刷处理的方法: ```java import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AntiSpam { int limit() default 5; // 指定限制的次数,默认5次 int interval() default 60; // 指定限制的时间间隔,默认60秒 } ``` 接下来,编写切面类`AntiSpamAspect`,实现接口防刷的逻辑: ```java import org.aspectj.lang.JoinPoint; import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Before; import org.aspectj.lang.annotation.Pointcut; import org.springframework.stereotype.Component; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; @Aspect @Component public class AntiSpamAspect { private Map<String, Integer> countMap = new ConcurrentHashMap<>(); @Pointcut("@annotation(antiSpam)") public void limitPointcut(AntiSpam antiSpam) {} @Before("limitPointcut(antiSpam)") public void doBefore(JoinPoint joinPoint, AntiSpam antiSpam) { String methodName = joinPoint.getSignature().toLongString(); int limit = antiSpam.limit(); int interval = antiSpam.interval(); long currentTime = System.currentTimeMillis() / 1000; // 获取当前时间,单位为秒 synchronized (countMap) { int count = countMap.getOrDefault(methodName, 0); long lastTime = countMap.getOrDefault(methodName + "_time", 0L); if (currentTime - lastTime < interval) { if (count >= limit) { throw new RuntimeException("接口调用频率过高,请稍后再试!"); } else { countMap.put(methodName, count + 1); } } else { countMap.put(methodName, 1); } countMap.put(methodName + "_time", currentTime); } } } ``` 最后,在需要进行接口防刷处理的方法上添加`@AntiSpam`注解,即可实现接口防刷的功能: ```java @RestController public class MyController { @AntiSpam(limit = 3, interval = 30) // 每30秒内最多只能调用3次 @GetMapping("/api/test") public String testApi() { // 执行业务逻辑 return "success"; } } ``` 以上就是一个基本的Spring Boot接口防刷的切面的实现方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值