通过Redis 防止接口被恶意请求

最新推荐文章于 2023-08-01 10:41:30 发布
原创 最新推荐文章于 2023-08-01 10:41:30 发布 · 572 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

该代码示例展示了如何利用Redis来防止恶意请求,通过跟踪用户在限定时间内访问API的频率。函数`api_frequency_visits`检查用户在最近60秒内的API调用次数,并限制最多10次。如果超过限制,则返回错误信息,否则增加计数并返回成功响应。 
//Redis   防止恶意请求
function api_frequency_visits($uid)
{
    $key = "user:{$uid}:api:frequency";
    $redis = $this->redis();
    $data = $redis->hGetAll($key);
    //需要删除的key
    $del_key = [];
    //时间内访问的总次数
    $total = 0;
    //时间内最大访问次数
    $max_frequency = 10;
    //当前时间
    $now_time = time();
    //限制时间
    $limit_time = 60;
    foreach ($data as $time => $count) {
        if ($time < $now_time - $limit_time) {
            $del_key[] = $time;

        } else {
            $total += $count;

        }

    }
    //存在需要删除的key
    if ($del_key) {
        $redis->hDel($key, ...$del_key);

    }
    if ($total >= $max_frequency) {
        return false;

    }
    return $redis->hIncrBy($key, $now_time, 1);

}

public function redisform()
{

    $uid = 1;
    $result = $this->api_frequency_visits($uid);
    if (!$result) {
        echo json_encode(['code' => 0, 'msg' => '操作过于频繁', 'data' => []]);
        die;

    }
    echo json_encode([
        'code' => 1, 'msg' => '', 'data' => [
            'uid' => $uid, 'other' => rand()
        ]
    ]);

}
Spring Boot(五十五):基于redis防止接口恶意刷新和暴力请求
u013938578的博客
01-17 1262
代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来达到自己的目的。下面只讲解大致步骤,不详细讲解,需要完整代码的可以自行下载。
防止SpringBoot 接口恶意刷新和暴力请求实现
最新发布
java之书-资源
08-23 269
防止SpringBoot 接口恶意刷新和暴力请求实现
API接口手工防御被恶意调用和接口被攻击
03-29
通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据 本地加密混淆,以上提到的加解密数据和算法,不要直接放在本地代码,因为很容易被反编译和破解,建议放到独立模块中去,并且函数名称越混淆越难读越安全。 User-Agent 和 Referer 限制 ap
如何防止别人恶意攻击调用API接口
resilient的博客
09-27 1万+
1 / 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回su...
防止接口恶意刷新和暴力请求
Che_yibuhe_yibu的博客
06-06 1161
防止接口恶意刷新和暴力请求
如何防止API接口恶意访问
dalangtaosha2011的专栏
09-03 2213
防火墙     1、直接禁用该ip   代理     1、使用apache     2、使用nginx   程序   1、使用session和token的超时机制来保证   2、使用redis存储;
使用拦截器&Redis实现接口访问限制===接口防刷之重复请求拦截
Be_insighted的博客
07-25 1430
自定义注解(方法级) import java.lang.annotation.Retention; import java.lang.annotation.Target; import static java.lang.annotation.ElementType.METHOD; import static java.lang.annotation.RetentionPolicy.RUNTIME; @Retention(RUNTIME) @Target(METHOD) public @inte.
精选资源
springboot基于redis防止接口恶意刷新和暴力请求
01-17
通过以上步骤,我们能够构建一个基于Spring Boot和Redis的高效限流系统,有效防止接口恶意刷新和暴力请求。同时,需要注意的是,限流策略需要根据业务特点和实际流量进行调整,避免对正常用户造成影响。在实际项目...
如何防止接口恶意请求?添加时间戳检验?
NoviceZ的博客
08-01 1209
Autowired@Autowired@Autowired@Overridethrow new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");//获取方法中的注解,看是否有该注解= null){//从redis中获取用户访问的次数// 有可能ip是代理的//第一次访问//加1}else{//超出访问次数。
redis防止黑客恶意攻击的简单办法
qq_36779138的博客
12-31 1575
1.在redis中放入有用户标识的key,每次用户操作时都会根据用户标识的key去匹配一下,匹配上就能操作,匹配不上就拒绝。 下面的代码是商品秒杀场景,根据用户id和商品id去生成一个标识,然后放入redis缓存中。 @Override public String getMd5(Integer id,Integer userid){ //检验用户的合法性 User user = userMapper.findById(userid); if(user
如何防止API接口恶意调用
靖节先生的博客
02-18 7540
如何防止API接口恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
利用redis解决恶意刷新和暴力请求
张钰杰杰杰杰杰的博客
05-29 792
利用ip+url防止暴力请求
tp6 redis 接口恶意访问
weixin_45604963的博客
08-06 244
根据登录的uid判断,存入redis,设置过期时间 public function visit(Request $request){ $key = $request->post("uid"); //限制次数为10 $limit = 10; $redis = Cache::store("redis"); // exists判断这个键是否有 if ($redis->exists($key)).
Redis实现计数器---接口防刷
热门推荐
通往精英的成长之路
12-03 3万+
强烈推荐一个大神的人工智能的教程:http://www.captainbed.net/zhanghan 【前言】 刚刚过去的双十一,大家有没有剁手,紧接着双十二马上又来临;看到全民大抢购的时候,做为一名技术人,不免的会有些职业病,总会好奇抢购秒杀等等背后的技术。 正好最近自己在做项目的时候需要防刷,自己在做完后做了些小测试,在这里与诸君共享! 【探索】...
如何防止接口恶意访问
beausejour的专栏
03-21 4116
1. 将js代码压缩,使得代码变得不易阅读。 2. 在接口中判断访问来源,例如php使用HTTP_REFERER来判断来源,如果是直接访问接口请求不予处理,如果是从网页调用的请求再做处理。 3. 将接口数据在php页面中动态加密后传给js文件,然后由js提交参数给接口接口解密后处理数据。
关于API接口安全的思考
qq_35771266的博客
07-06 601
最近在搭建一个框架,涉及接口安全的问题。为了减少攻击,想了很多。在这里复盘一下。 为什么要对接口做安全设置? 如果get接口不做安全设置,如果接口恶意攻击很有可能造成服务器或者数据库瘫痪,导致这个应用挂掉。 如果post接口被攻击那就更可怕了,这个会产生很多非常不好的影响。比如数据丢,数据错乱,大量脏数据。如果涉及到money...后果就更不用想了。所以接口安全这一块是一个应用的重中之重,一定要尽最大努力去做好。 但是有一点,我们即使做得再好也只...
网络安全—如何预防常见的API漏洞
AIwenIPgeolocation的博客
10-18 2914
跟随着互联网的全面发展,API这一词频繁出现在大家的视线之中,什么是API呢?API全称Application Programming Interface,翻译出来叫做“应用程序接口”,是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。 如今,API 已成为将当今APP经济的粘合剂,在Web 2.0的浪潮到来之前,开放的API 甚至源代码主要体现在桌面应用上,越来.
3大问题!Redis缓存异常及处理方案总结
架构师小秘圈
07-16 370
导语|Redis作为一个高性能的内存中的key-value数据结构存储系统,在我们日常开发中广泛应用于缓存、计数器、消息队列、排行榜等场景中,尤其是作为最常用的缓存方式,在提高数据查询效率、保护数据库等方面起到了不可磨灭的作用,但实际应用中,可能会出现一些Redis缓存异常的情况,本文主要对Redis缓存异常及处理方案进行了总结。一、背景Redis是一个完全开源的、遵...
基于Redis 自定义注解和Aop防止form表单重复提交
苏雨丶
02-13 467
防止form表单重复提交 解决方案 1、 前端form表单加载的时候,去请求后端的生成formId的接口 2、 后端在生成formId接口将formId存储到缓存中,再返回给前端 3、 前端在form表单提交的时候在请求头中携带一个formId的参数,值为加载时获取到的formId 4、 后端基于AOP拦截请求,判断请求头是否携带formId,并判断是否存在缓存中 如果不在,告诉前端fromId不...
SpringBoot接口安全防护:利用拦截器与Redis防止恶意刷新
"本文主要介绍了如何使用SpringBoot和Redis防止接口恶意刷新和暴力请求。作者通过创建自定义的拦截器(IpUrlLimitInterceptor)实现了对特定URL和IP访问次数的限制,当达到预设阈值时,将对IP进行封锁。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值