安全优化--秒杀接口地址的隐藏

最新推荐文章于 2023-07-13 13:30:04 发布

Dandy1awcoder

最新推荐文章于 2023-07-13 13:30:04 发布

阅读量5.1k

点赞数 1

分类专栏： Sanno限时秒杀商城项目

本文链接：https://blog.csdn.net/weixin_38035852/article/details/81191622

版权

Sanno限时秒杀商城项目专栏收录该内容

23 篇文章 57 订阅

订阅专栏

秒杀接口地址隐藏：每次点击秒杀按钮，才会生成秒杀地址，之前是不知道秒杀地址的。不是写死的，是从服务端获取，动态拼接而成的地址。（Http协议是明文传输，透明的，前端无法控制恶意用户进行攻击）安全校验还是要放在服务端，禁止掉这些恶意服务。

思路：

1.在进行秒杀之前，先请求一个服务端地址，/getmiaoshaPath 这个地址，用来获取秒杀地址，传参为商品id，在服务端生成随机数（MD5）作为pathId存入缓存，（缓存过期时间60s），然后将这个随机数返回给前端.

2.获得该pathid,后前端在用这个pathid拼接在Url上作为参数，去请求domiaosha服务

3.后端接收到这个pathid 参数，并且与缓存中的pathid 比较。

如果通过比较，进行秒杀逻辑，如果不通过，抛出业务异常，非法请求。

/*点击秒杀之后 就访问后端 获取一个秒杀地址pathId*/
function getMiaoshaPath() {
    $.ajax({
        url :"/miaosha/getPath",
        type : "GET",
        data:{
            goodsId :$("#goodsId").val(),
            verifyCode : $("#verifyCode").val()
        },
        success:function(data){
            if (data.code ==0) {//
                var path = data.data
                domiaosha(path)
            }else {
                layer.msg(data.message)
            }
        },
        error :function () {
            layer.msg("客户端错误")
        }
    })

}

    function domiaosha(path){
        $.ajax({
            url :"/miaosha/"+path+"/do_miaosha",//安全优化，带着这个path去访问
            type : "POST",
            data:{
                goodsId :$("#goodsId").val()
            },
            success:function(data){
                if (data.code ==0) {//成功 就跳转 订单页面 并传入 orderid
                    // window.location.href= "/order_detail.htm?orderId="+data.data.id;
                    //若果返回成功,即表示收到请求，等待中
                    getMiaoshaResult($("#goodsId").val());
                }else {
                    layer.msg(data.message)
                }
            },
            error :function () {
                layer.msg("客户端错误")
            }
        })
    }

    /**
     * 安全优化之 ---接口地址随机化(隐藏)
     * 1.点击秒杀之后，先访问该接口生成一个pathId，并存入redis 返回前端
     * 2.前端带着这个pathId去访问秒杀接口，如果传入的path和从redis取出的不一致，就认为 非法请求
     */
    @AccessLimit(seconds = 5,maxCount = 5,needLogin = true)
    @RequestMapping(value = "/getPath", method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getPath(HttpServletRequest request,MiaoshaUser user, Model model,
                                  @RequestParam("goodsId") long goodsId,
                                  @RequestParam(value = "verifyCode")String verifyCode) {
        if (user == null) {
            return Result.error(CodeMsg.SESSION_ERROR);
        }


        String str = UUIDUtill.uuid();
        /*随机生成 一个 pathId 返回给前端*/
        String pathId = Md5Util.md5(str + "1111");
        redisService.set(MiaoshaKey.getMiaoshaPath, "" + user.getId() + goodsId, pathId);

该操作：可以为了防止，恶意用户登陆之后，获取token的情况下，通过不断调用秒杀地址接口，来达到刷单的恶意请求。

每次的url都不一样，只有真正点击秒杀按钮，才会根据商品和用户id生成对应的秒杀接口地址。

但是，这种情况仍然不能解决利用按键精灵或者机器人频繁点击按钮的操作，为了降低点击按钮的次数，以及高并发下，防止多个用户在同一时间内，并发出大量请求，加入数学公式图形验证码等防高并发优化。

Dandy1awcoder

关注

1
点赞
踩
16

收藏

觉得还不错? 一键收藏
10
评论
安全优化--秒杀接口地址的隐藏

秒杀接口地址隐藏：每次点击秒杀按钮，才会生成秒杀地址，之前是不知道秒杀地址的。不是写死的，是从服务端获取，动态拼接而成的地址。（Http协议是明文传输，透明的，前端无法控制恶意用户进行攻击）安全校验还是要放在服务端，禁止掉这些恶意服务。思路：1.在进行秒杀之前，先请求一个服务端地址，/getmiaoshaPath 这个地址，用来获取秒杀地址，传参为商品id，在服务端生成随机数（MD5）作...
复制链接

扫一扫