【SpringBoot】Spring Boot 如何实现接口防刷

于 2024-06-19 17:25:58 发布
阅读量760 收藏 27
点赞数 17
分类专栏: Java 微服务 文章标签: spring boot 后端 java redis spring 系统架构 接口防刷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37833693/article/details/139808467
版权
Java 同时被 2 个专栏收录
127 篇文章 5 订阅
订阅专栏
微服务
24 篇文章 0 订阅
订阅专栏

目录

什么是接口防刷

接口被刷指的是同一接口被频繁调用,可能是由于以下原因导致:

  • 恶意攻击: 攻击者利用自动化脚本或工具对接口进行大量请求,以消耗系统资源、拖慢系统响应速度或达到其他恶意目的。
  • 误操作或程序错误: 某些情况下,程序错误或误操作可能导致接口被重复调用,例如循环调用或者定时任务配置错误。

常见的接口防刷策略

  1. 请求频率限制:限制单个用户或IP地址在一定时间内能够发送请求的次数,防止用户过度频繁地发送请求。

  2. 验证码验证:要求用户在发送请求之前先进行验证码验证,从而确保该请求是来自真实用户而不是机器人。

  3. 用户身份认证:要求用户在发送请求之前先进行身份认证,例如使用用户名和密码进行登录或使用API密钥进行身份验证,从而确保只有合法的用户可以发送请求。

  4. 动态令牌:为每个请求生成一个动态令牌,要求客户端在请求中附带该令牌,服务器端根据令牌来验证请求的合法性。

  5. 异常行为检测:通过监控用户的行为和请求模式,检测异常的请求行为,例如短时间内发送大量请求或者发送重复请求等,从而识别和阻止恶意用户或机器人。

Redis 实现接口防刷

Redis是一种高性能的键值存储系统,常用于缓存和分布式锁等场景。利用Redis可以有效地实现接口防刷功能:

  • 计数器: 利用Redis的计数器功能,每次接口被调用时增加计数器的值,设定一个时间窗口内的最大调用次数,超过该次数则拒绝请求。
  • 分布式锁: 利用Redis的分布式锁功能,确保同一时间只有一个请求能够增加计数器的值,防止并发问题导致计数器失效。

代码示例

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.concurrent.TimeUnit;

import javax.annotation.Resource;

@Component
public class RateLimitInterceptor extends HandlerInterceptorAdapter {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        String key = "rate_limit:" + ipAddress;
        long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            redisTemplate.expire(key, 1, TimeUnit.MINUTES); // 设置过期时间,防止数据永久存储
        }
        if (count > 100) { // 设置阈值为每分钟最多100次请求
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁,请稍后重试");
            return false;
        }
        return true;
    }
}

拦截器实现接口防刷

  1. 编写拦截器:创建一个实现HandlerInterceptor接口的拦截器类,重写preHandle方法,在该方法中进行接口调用次数的检查,如果超过阈值则拦截请求。
  2. 配置拦截器:在Spring Boot的配置类中通过addInterceptor方法将拦截器注册到拦截器链中,配置拦截器的拦截路径和排除路径。

代码示例

  • 使用拦截器实现接口防刷
    import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class RateLimitInterceptor implements HandlerInterceptor {

    private static final int MAX_REQUESTS_PER_MINUTE = 100;
    private static final String RATE_LIMIT_KEY_PREFIX = "rate_limit:";
    private final RedisTemplate<String, String> redisTemplate;

    public RateLimitInterceptor(RedisTemplate<String, String> redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        String key = RATE_LIMIT_KEY_PREFIX + ipAddress;
        Long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            redisTemplate.expire(key, 1, TimeUnit.MINUTES);
        }
        if (count > MAX_REQUESTS_PER_MINUTE) {
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁,请稍后重试");
            return false;
        }
        return true;
    }
}
  • 拦截器配置
    import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    private final RateLimitInterceptor rateLimitInterceptor;

    @Autowired
    public WebMvcConfig(RateLimitInterceptor rateLimitInterceptor) {
        this.rateLimitInterceptor = rateLimitInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(rateLimitInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/exclude/**"); // 可以排除一些不需要拦截的路径
    }
}

总结

接口防刷是保障系统安全和稳定性的重要手段,利用Redis和拦截器可以很好地实现接口防刷功能。通过合理设置阈值和时间窗口,以及监控系统日志,可以及时发现异常情况并采取相应措施,确保系统正常运行

苏生Susheng
关注
  • 17
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot进阶(53):「避免重复提交!Spring Boot 接口防重复请求的四种方式」
**My Coding Family**
06-26 2530
Spring Boot 如何防止重复请求?一文教你搞定它。
Spring Boot接口设计防篡改、防重放攻击详解
08-25
主要给大家介绍了关于Spring Boot接口设计防篡改、防重放攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Spring Boot 实现程序的优雅退出
qq_35716689的博客
03-18 9万+
在服务器环境中,确保应用程序能够平滑关闭并处理完所有现有请求是一个重要的需求。Spring Boot 为我们提供了优雅退出的功能,使应用程序能够在关闭时正常处理完所有当前请求,避免请求被中断导致数据丢失或不一致等问题。本文将全面介绍如何在 Spring Boot 应用程序中实现优雅退出。
springboot接口服务,防刷、防止请求攻击,AOP实现
徐本锡的专栏
02-16 4万+
springboot接口服务,防刷、防止请求攻击,AOP实现
SpringBoot框架
friggly的博客
04-01 38万+
主要用于后台人员的开发,结合前后端分离进行使用
微服务架构具体实现工具框架:Spring Boot概览与核心原理
热门推荐
张彦峰的博客
02-14 164万+
微服务架构具体实现工具框架:Spring Boot概览与核心原理介绍分析
springboot整合springsecurity实现接口权限控制
weixin_42600788的博客
04-27 3184
关于springsecurity安全框架学习
SpringBoot实现文件上传接口
江夏、的博客
05-20 5547
SpringBoot实现文件上传接口
Spring Boot实现文件上传与下载
null
03-27 6万+
上面接口是要下载logs文件夹下日志文件,以log_20190218.log日志文件为例,浏览器直接访问 http://127.0.0.1:8090/springbootdemo/log/download/log_20190218.log 即可完成下载。上面我们上传文件的客户端为HTML页面,但我们实际生产中未必是WebAPP,这时我们可以通过模拟发送浏览器HTTP请求来实现上传文件。点击选择文件打开文件选择页面,选中需要上传的文件后,点击提交,返回如下则为文件上传成功。点击提交,返回如下则为上传成功。
Spring boot 写一个接口
m0_60549667的博客
08-27 4991
1-首先,创建一个Spring boot 项目 2-配置环境,需要配置pom和application.yml (1)pom 里添加 lombok 因为之后可能会用到: <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency> (2)application的后缀名改为yml,.
基于springboot实现简单接口
Laohei0101的博客
05-02 5200
嗨喽大家好,我是老黑,今天和大家分享一下自己最新学的知识,通过java实现接口,对数据库中的数据做到增删改查。 一、准备工作: 1、工具准备 IDEA Mysql Navicate JDK Postman 俗话说的好,工欲善其事必先利其器嘛,所以这些开发工具要安装好。安装完成后就进入项目的准备工作。 2、项目准备 1、打开网站start.spring.io 注意的点就是安装的jdk8,所以要选8.其他默认就好,右边的依赖选择完成后,我们就选择创建,会生成一个demo压缩文件,然后把压缩文件解压后用.
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
SpringBoot实现接口数据的加解密功能
08-25
SpringBoot实现接口数据的加解密功能可以使用自定义消息转换器或使用Spring提供的接口RequestBodyAdvice和ResponseBodyAdvice两种方式实现,前者简单易用,但不灵活,后者可以按照请求的特定需要进行加密解密操作。
spring boot查询接口
08-04
{"code":200,"data":[{"age":12,"name":"12","sex":"男","username":"张三","userpassword":"123"},{"age":22,"name":"12","sex":"女","username":"李白","userpassword":"4576"}]}
spring boot2.0实现优雅停机的方法
08-27
Spring Boot 2.0 实现优雅停机的方法 Spring Boot 2.0 中实现优雅停机的方法主要是通过配置 Tomcat 容器和实现 GracefulShutdown 类来实现的。优雅停机是指在关闭应用程序时,先停止接收新的请求,然后等待所有...
深入探索Spring Boot的自动配置机制
weixin_42279822的博客
06-13 671
尽管Spring Boot的自动配置极大地简化了开发工作,有时我们需要对默认配置进行细粒度的控制。如果需要自定义某个自动配置组件,可以定义一个新的类并覆盖默认的Bean定义。@BeanSpring Boot会优先使用自定义的DataSource,而不会使用默认的自动配置。假设我们希望为应用程序添加一个自定义的功能模块,并通过Spring Boot的自动配置机制来管理其配置。@Bean。
探索Spring Boot的自动配置机制
weixin_42279822的博客
06-13 579
如果需要自定义DataSourceBean,可以在应用程序中定义自己的DataSource@BeanSpring Boot会优先使用开发者定义的DataSource,而不会使用默认的自动配置。Spring Boot的自动配置机制通过Starter依赖、条件注解和自动配置类等技术,极大地简化了Spring应用的开发过程,使得开发者能够专注于业务逻辑而不是繁琐的配置。开发者可以通过自定义配置或禁用自动配置来灵活调整应用程序的行为,从而满足特定需求。
Spring Boot集成Timefold Solver实现课程表编排
最新发布
HBLOG
06-14 1228
每个组织都面临规划问题:使用一组有限的资源(员工、资产、时间和金钱)提供产品或服务。TimefoldSolver 优化了此类规划,以更少的资源开展更多业务。这被称为约束满足编程(属于运筹学学科的一部分)。是一个轻量级、可嵌入的约束满足引擎,可优化规划问题。员工轮班排班:安排护士、修理工等的时间议程安排:安排会议、约会、维护工作、广告等教育时间表:安排课程、课程、考试、会议演示等车辆路线:使用已知的地图工具规划车辆路线(卡车、火车、轮船、飞机等),以便将货物和/或乘客运送到多个目的地……
Spring Boot 的启动原理、Spring Boot 自动配置原理
m0_47743175的博客
06-12 1081
Spring Boot 的启动原理、Spring Boot 自动配置原理
spring-boot 实现 API 接口合并
06-06
实现 API 接口合并可以通过 Spring Boot 中的 Feign 和 Ribbon 组件来实现。具体步骤如下: 1. 在 pom.xml 中添加依赖: ``` <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-openfeign</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-ribbon</artifactId> </dependency> ``` 2. 创建一个 Feign 接口,用于调用需要合并的 API 接口: ``` @FeignClient(name = "service-name") public interface ApiService { @GetMapping("/api/path") String getData(); } ``` 3. 在 Spring Boot 启动类中添加 @EnableFeignClients 和 @RibbonClients 注解: ``` @SpringBootApplication @EnableFeignClients @RibbonClients(defaultConfiguration = RibbonConfiguration.class) public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 4. 创建一个 Ribbon 配置类,用于配置负载均衡策略: ``` @Configuration public class RibbonConfiguration { @Bean public IRule ribbonRule() { // 配置负载均衡策略 return new RandomRule(); } } ``` 5. 创建一个自定义的 API 接口,用于合并多个 API 接口: ``` @RestController @RequestMapping("/api") public class CombinedApiController { @Autowired private ApiService apiService; @GetMapping("/combined") public List<String> getDataFromMultipleApis() { List<String> result = new ArrayList<>(); result.add(apiService.getData()); // 调用其他需要合并的接口并将结果加入到 result 中 return result; } } ``` 通过以上步骤,就可以实现 API 接口的合并。在 CombinedApiController 中,通过调用 ApiService 中的接口来获取数据,然后将多个接口返回的数据合并在一起返回给客户端。同时,通过 Ribbon 配置负载均衡策略,可以实现对多个 API 服务的负载均衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值