Spring Boot教程十七:防止接口恶意刷新和暴力请求

最新推荐文章于 2024-06-04 15:38:03 发布
最新推荐文章于 2024-06-04 15:38:03 发布
阅读量1.1w 收藏 70
点赞数 13
分类专栏: SpringBoot 文章标签: springboot 恶意刷新 暴力攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang_shuyu/article/details/102531940
版权

在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的;

首先工程为springboot框架搭建,不再详细叙述。直接上核心代码。

首先创建一个自定义的拦截器类,也是最核心的代码;

/**
 * @package: com.technicalinterest.group.interceptor
 * @className: IpUrlLimitInterceptor
 * @description: ip+url重复请求现在拦截器
 * @author: Shuyu.Wang
 * @date: 2019-10-12 12:34
 * @since: 0.1
 **/
@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {


	private RedisUtil getRedisUtil() {
		return  SpringContextUtil.getBean(RedisUtil.class);
	}

	private static final String LOCK_IP_URL_KEY="lock_ip_";

	private static final String IP_URL_REQ_TIME="ip_url_times_";

	private static final long LIMIT_TIMES=5;

	private static final int IP_LOCK_TIME=60;

	@Override
	public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
		log.info("request请求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest));
		if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){
			log.info("ip访问被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));
			ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
			returnJson(httpServletResponse, JSON.toJSONString(result));
			return false;
		}
		if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){
			ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
			returnJson(httpServletResponse, JSON.toJSONString(result));
			return false;
		}
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

	}

	@Override
	public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

	}

	/**
	 * @Description: 判断ip是否被禁用
	 * @author: shuyu.wang
	 * @date: 2019-10-12 13:08
	 * @param ip
	 * @return java.lang.Boolean
	 */
	private Boolean ipIsLock(String ip){
		RedisUtil redisUtil=getRedisUtil();
		if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){
			return true;
		}
		return false;
	}
	/**
	 * @Description: 记录请求次数
	 * @author: shuyu.wang
	 * @date: 2019-10-12 17:18
	 * @param ip
	 * @param uri
	 * @return java.lang.Boolean
	 */
	private Boolean addRequestTime(String ip,String uri){
		String key=IP_URL_REQ_TIME+ip+uri;
		RedisUtil redisUtil=getRedisUtil();
		if (redisUtil.hasKey(key)){
			long time=redisUtil.incr(key,(long)1);
			if (time>=LIMIT_TIMES){
				redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);
				return false;
			}
		}else {
			redisUtil.getLock(key,(long)1,1);
		}
		return true;
	}

	private void returnJson(HttpServletResponse response, String json) throws Exception {
		PrintWriter writer = null;
		response.setCharacterEncoding("UTF-8");
		response.setContentType("text/json; charset=utf-8");
		try {
			writer = response.getWriter();
			writer.print(json);
		} catch (IOException e) {
			log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);
		} finally {
			if (writer != null) {
				writer.close();
			}
		}
	}


}

代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;

redis分布式锁的关键代码:

/**
 * @package: com.shuyu.blog.util
 * @className: RedisUtil
 * @description:
 * @author: Shuyu.Wang
 * @date: 2019-07-14 14:42
 * @since: 0.1
 **/
@Component
@Slf4j
public class RedisUtil {

	private static final Long SUCCESS = 1L;

	@Autowired
	private RedisTemplate<String, Object> redisTemplate;
	// =============================common============================

	

	/**
	 * 获取锁
	 * @param lockKey
	 * @param value
	 * @param expireTime:单位-秒
	 * @return
	 */
	public boolean getLock(String lockKey, Object value, int expireTime) {
		try {
			log.info("添加分布式锁key={},expireTime={}",lockKey,expireTime);
			String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";
			RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
			Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);
			if (SUCCESS.equals(result)) {
				return true;
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		return false;
	}

	/**
	 * 释放锁
	 * @param lockKey
	 * @param value
	 * @return
	 */
	public boolean releaseLock(String lockKey, String value) {
		String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";
		RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
		Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);
		if (SUCCESS.equals(result)) {
			return true;
		}
		return false;
	}

}

最后将上面自定义的拦截器通过registry.addInterceptor添加一下,就生效了;

@Configuration
@Slf4j
public class MyWebAppConfig extends WebMvcConfigurerAdapter {
    @Bean
	IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
    	return new IpUrlLimitInterceptor();
	}

 @Override
    public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

自己可以写一个for循环来测试方面的功能,这里就不详细介绍了;

wang_shuyu
关注
  • 13
    点赞
  • 70
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
springboot项目中接口防止恶意请求多次,重复请求的解决办法,适合小白
weixin_40918145的博客
09-22 1万+
springboot项目中接口防止恶意请求多次 在项目中,接口的暴露在外面,很多人就会恶意多次快速请求,那我们开发的接口和服务器在这样的频率下的话,服务器和数据库很快会奔溃的,那我们该怎么防止接口防刷呢?由于博主小白,很多都不懂,都是从网上一点一点的找资料最后成功的。 解决方案:采用注解方式 其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提...
springboot接口服务,防刷、防止请求攻击,AOP实现
热门推荐
徐本锡的专栏
02-16 4万+
springboot接口服务,防刷、防止请求攻击,AOP实现
SpringBoot接口防抖(防重复提交)
最新发布
qq_44715376的博客
06-04 1145
Spring Boot接口防抖(Debouncing)的概念是指在处理请求时,通过一定的机制来防止用户频繁触发同一接口请求,以防止重复提交或频繁请求的情况发生。
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1219
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
Java--业务场景:SpringBoot 通过Redis进行IP封禁实现接口防刷
芝麻馅的博客
01-08 1474
在实际项目中,有些攻击者会使用自动化工具来频繁刷新接口,造成系统的瞬时吞吐量提高,给系统带来很大的压力。要保障服务的安全性,需要防止重要的接口恶意刷新接口防刷的方式可以通过设置验证码,IP封禁,安全参数校验等方法。本文主要采用Redis将同一时间内频繁访问同一接口的IP封禁一段时间的方式来防止接口恶意刷新
JAVA实现Redis锁(加锁与解锁),快速高效实现Redis加锁与解锁
振钧
07-20 3502
//获得锁 RLock locker = RedisUtil.getClient().getLock("锁的名字,例:Locker:TestLockA"); //上锁 locker.lock(); try { /* 你自己看的业务代码 此处省略成千上万个BUG,祝君好运!!! */ } catch (Exception e) { e.printStackTrace(); } finally { //此处判断是否被锁定或者是否被当前线程持有 if (locker.isLock
springboot项目中接口防止恶意请求多次
qq_29998003的博客
12-26 5467
springboot项目中接口防止恶意请求多次 在项目中,接口的暴露在外面,很多人就会恶意多次快速请求,那我们开发的接口和服务器在这样的频率下的话,服务器和数据库很快会奔溃的,那我们该怎么防止接口防刷呢? 采用注解方式 其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上...
Spring Boot 项目的 API 接口防刷
勇往直前的专栏
10-31 450
说明:使用了注解的方式进行对接口防刷的功能,非常高大上,本文章仅供参考 一,技术要点:springboot的基本知识,redis基本操作, 首先是写一个注解类: importjava.lang.annotation.Retention; importjava.lang.annotation.Target; importstaticjava.lang.annotation.Ele...
Java盗刷_一个依赖搞定 Spring Boot 反爬虫,防止接口盗刷
weixin_30100295的博客
02-20 347
kk-anti-reptile 是适用于基于 spring-boot 开发的分布式系统的反爬虫组件。系统要求基于 spring-boot 开发(spring-boot1.x, spring-boot2.x均可)需要使用 redis工作流程kk-anti-reptile 使用基于 Servlet 规范的的 Filter 对请求进行过滤,在其内部通过 spring-boot 的扩展点机制,实例化一个 ...
springboot如何防止恶意刷新暴力请求接口
delete_bug的博客
06-05 1830
防止恶意请求接口
springboot 自定义拦截器 防止恶意请求
a2986467829的博客
06-22 625
Springboot 自定义拦截器防止恶意请求
Spring Boot接口设计防篡改、防重放攻击详解
08-25
主要给大家介绍了关于Spring Boot接口设计防篡改、防重放攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
springboot基于redis防止接口恶意刷新暴力请求
01-17
本篇文章将深入探讨如何利用Spring Boot和Redis来防止接口恶意刷新暴力请求。 首先,我们需要理解什么是接口恶意刷新暴力请求恶意刷新通常指短时间内对同一个接口进行大量的重复调用,这可能是为了执行恶意...
spring-boot-study:Spring Boot 入门教程及示例代码-源码
04-14
Spring Boot 入门教程及示例代码,手把手快速上手教程-源码
Spring boot通过AOP防止API重复请求代码实例
08-25
本文主要介绍了使用 Spring Boot 和 AOP 防止 API 重复请求的代码实例。 知识点一:什么是 AOP? AOP(Aspect-Oriented Programming),即面向方面编程,是一种编程范式,它提供了一种新的编程方式,允许开发者将...
spring-boot-tutorial::100:通过丰富实例来展现Spring Boot特性的教程
01-29
Spring启动教程spring-boot-tutorial是一个Spring Boot实战教程,通过大量丰富的示例,展示Spring Boot在各个应用领域的应用。本项目旨在覆盖Java应用的各个领域。本项目的二进制代码使用maven进行构建管理,任意...
Spring Boot和Vue跨域请求问题原理解析
08-25
Spring Boot和Vue跨域请求问题原理解析 跨域请求是指在Web应用程序中,从一个域名下的Web页面去请求另一个域名下的资源,这种请求方式会出现安全问题,为了解决这个问题,出现了同源政策(Same-Origin Policy)。...
SpringBoot防止大量请求攻击
qq_46070108的博客
11-22 1万+
我们使用Jmeter测试同学的网站时,就会出现网站无法访问,403等错误。 An error occurred. Sorry, the page you are looking for is currently unavailable. Please try again later. If you are the system administrator of this resource then you should check the error log for details. Faithfull
Spring Boot(五十五):基于redis防止接口恶意刷新暴力请求
u013938578的博客
01-17 957
代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来达到自己的目的。下面只讲解大致步骤,不详细讲解,需要完整代码的可以自行下载。
spring boot教程
03-30
Spring Boot是一个用于创建基于Spring框架的快速应用程序的开源框架。它简化了Spring应用程序的开发和部署,并提供了许多自动配置和预定义的依赖项,使开发人员可以更快地构建应用程序。 以下是一些Spring Boot教程的主题: 1. Spring Boot入门指南:介绍Spring Boot的基础知识,例如如何创建一个简单的Spring Boot应用程序,如何使用Spring Boot自动配置等。 2. Spring Boot Web应用程序:介绍如何使用Spring Boot创建Web应用程序,包括使用Spring MVC和Thymeleaf模板引擎等。 3. Spring Boot数据访问:介绍如何使用Spring Boot访问数据库,包括使用JPA和Spring Data等。 4. Spring Boot安全性:介绍如何使用Spring Boot保护Web应用程序,包括如何使用Spring Security和OAuth2等。 5. Spring Boot微服务:介绍如何使用Spring Boot创建和部署微服务,包括使用Spring Cloud和Netflix OSS等。 以上是一些常见的Spring Boot教程主题,可以帮助开发人员快速入门并掌握Spring Boot的基础知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值