安全优化--秒杀接口地址的隐藏

最新推荐文章于 2023-07-13 13:30:04 发布
最新推荐文章于 2023-07-13 13:30:04 发布
阅读量5.1k 收藏 16
点赞数 1
分类专栏: Sanno限时秒杀商城项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38035852/article/details/81191622
版权

秒杀接口地址隐藏:每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。

思路:

1.在进行秒杀之前,先请求一个服务端地址,/getmiaoshaPath 这个地址,用来获取秒杀地址,传参为 商品id,在服务端生成随机数(MD5)作为pathId存入缓存,(缓存过期时间60s),然后将这个随机数返回给前端.

2.获得该pathid,后 前端在用这个pathid拼接在Url上作为参数,去请求domiaosha服务

3.后端接收到这个pathid 参数,并且与 缓存中的pathid 比较。

如果通过比较,进行秒杀逻辑,如果不通过,抛出业务异常,非法请求。

/*点击秒杀之后 就访问后端 获取一个秒杀地址pathId*/
function getMiaoshaPath() {
    $.ajax({
        url :"/miaosha/getPath",
        type : "GET",
        data:{
            goodsId :$("#goodsId").val(),
            verifyCode : $("#verifyCode").val()
        },
        success:function(data){
            if (data.code ==0) {//
                var path = data.data
                domiaosha(path)
            }else {
                layer.msg(data.message)
            }
        },
        error :function () {
            layer.msg("客户端错误")
        }
    })

}

    function domiaosha(path){
        $.ajax({
            url :"/miaosha/"+path+"/do_miaosha",//安全优化,带着这个path去访问
            type : "POST",
            data:{
                goodsId :$("#goodsId").val()
            },
            success:function(data){
                if (data.code ==0) {//成功 就跳转 订单页面 并传入 orderid
                    // window.location.href= "/order_detail.htm?orderId="+data.data.id;
                    //若果返回成功,即表示收到请求,等待中
                    getMiaoshaResult($("#goodsId").val());
                }else {
                    layer.msg(data.message)
                }
            },
            error :function () {
                layer.msg("客户端错误")
            }
        })
    }

    /**
     * 安全优化之 ---接口地址随机化(隐藏)
     * 1.点击秒杀之后,先访问该接口生成一个pathId,并存入redis 返回前端
     * 2.前端带着这个pathId去访问秒杀接口,如果传入的path和从redis取出的不一致,就认为 非法请求
     */
    @AccessLimit(seconds = 5,maxCount = 5,needLogin = true)
    @RequestMapping(value = "/getPath", method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getPath(HttpServletRequest request,MiaoshaUser user, Model model,
                                  @RequestParam("goodsId") long goodsId,
                                  @RequestParam(value = "verifyCode")String verifyCode) {
        if (user == null) {
            return Result.error(CodeMsg.SESSION_ERROR);
        }


        String str = UUIDUtill.uuid();
        /*随机生成 一个 pathId 返回给前端*/
        String pathId = Md5Util.md5(str + "1111");
        redisService.set(MiaoshaKey.getMiaoshaPath, "" + user.getId() + goodsId, pathId);

该操作:可以为了防止,恶意用户登陆之后,获取token的情况下,通过不断调用秒杀地址接口,来达到刷单的恶意请求。

每次的url都不一样,只有真正点击秒杀按钮,才会根据商品和用户id生成对应的秒杀接口地址。

 

但是,这种情况仍然不能解决 利用 按键精灵或者 机器人 频繁点击按钮的操作,为了降低点击按钮的次数,以及高并发下,防止多个用户在同一时间内,并发出大量请求,加入数学公式图形验证码等防高并发优化。

Dandy1awcoder
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
display none 隐藏后怎么显示_web前端入门到实战:元素显示隐藏的9种思路
weixin_39922534的博客
11-21 1019
在网页制作中,元素的显示隐藏是非常常见的需求。本文将介绍元素显示隐藏的9种思路display对于元素显隐来说,最常见就是display:none | display:block,但是使用这种方法有个问题,元素的display属性在隐藏前并不都是block,还有可能是inline、inline-block等注意:如果要适用于任何元素需要提前储存元素的display值显示隐藏测试文字 visibil...
vue知识整理 - Vue配置proxy指定api请求地址(隐藏真实api请求地址)
weixin_69518525的博客
04-28 1717
proxy指定api请求地址
spring-boot-seckill分布式秒杀系统源代码
03-18
spring-boot-seckill分布式秒杀系统是一个用SpringBoot开发的从0到1构建的分布式秒杀系统,项目案例基本成型,逐步完善中。 开发环境: JDK1.8、Maven、Mysql、IntelliJ IDEA、SpringBoot1.5.10、zookeeper3.4.6、kafka_2.11、redis-2.8.4、curator-2.10.0 启
Java秒杀系统方案优化-高性能高并发实战
04-16
Java秒杀系统方案优化-高性能高并发实战 Java秒杀系统方案优化-高性能高并发实战
spring-boot-seckill分布式秒杀系统 v1.0/java秒杀系统源码+安装说明
08-08
spring-boot-seckill分布式秒杀系统是一个用SpringBoot开发的从0到1构建的分布式秒杀系统,项目案例基本成型,逐步完善中。 开发环境: JDK1.8、Maven、Mysql、IntelliJ IDEA、SpringBoot1.5.10、zookeeper3.4.6、kafka_2.11、redis-2.8.4、curator-2.10.0 启动说明: 1、启动前 请配置application.properties中相关redis、zk以及kafka相关地址,建议在Linux下安装使用。 2、数据库脚本位于 src/main/resource/sql 下面,启动前请自行导入。 3、配置完成,运行Application中的main方法,访问 http://localhost:8080/seckill/swagger-ui.html 进行API测试。 4、秒杀商品页:http://localhost:8080/seckill/index.shtml ,部分功能待完成。 5、本测试案例单纯为了学习,某些案例并不适用于生产环境,大家根据所需自行调整。 秒杀架构: 架构层级
电商项目--高并发秒杀优化-miaosha.zip
最新发布
11-04
电商项目--高并发秒杀优化-miaosha
spring-boot-seckill分布式秒杀系统-其他
06-12
spring-boot-seckill分布式秒杀系统是一个用SpringBoot开发的从0到1构建的分布式秒杀系统,项目案例基本成型,逐步完善中。 开发环境: JDK1.8、Maven、Mysql、IntelliJ IDEA、SpringBoot1.5.10、zookeeper3.4.6、kafka_2.11、redis-2.8.4、curator-2.10.0 启动说明: 1、启动前 请配置application.properties中相关redis、zk以及kafka相关地址,建议在Linux下安装使用。 2、数据库脚本位于 src/main/resource/sql 下面,启动前请自行导入。 3、配置完成,运行Application中的main方法,访问 http://localhost:8080/seckill/swagger-ui.html 进行API测试。 4、秒杀商品页:http://localhost:8080/seckill/index.shtml ,部分功能待完成。 5、本测试案例单纯为了学习,某些案例并不适用于生产环境,大家根据所需自行调整。 秒杀架构: 架构层级 1、一般商家在做活动的时候,经常会遇到各种不怀好意的DDOS攻击(利用无辜的吃瓜群众夺取资源),导致真正的我们无法获得服务!所以说高防IP还是很有必要的。 2、搞活动就意味着人多,接入SLB,对多台云服务器进行流量分发,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 3、基于SLB价格以及灵活性考虑后面我们接入Nginx做限流分发,来保障后端服务的正常运行。 4、后端秒杀业务逻辑,基于Redis 或者 Zookeeper 分布式锁,Kafka 或者 Redis 做消息队列,DRDS数据库中间件实现数据的读写分离。 优化思路 1、分流、分流、分流,重要的事情说三遍,再牛逼的机器也抵挡不住高级别的并发。 2、限流、限流、限流,毕竟秒杀商品有限,防刷的前提下没有绝对的公平,根据每个服务的负载能力,设定流量极限。 3、缓存、缓存、缓存、尽量不要让大量请求穿透到DB层,活动开始前商品信息可以推送至分布式缓存。 4、异步、异步、异步,分析并识别出可以异步处理的逻辑,比如日志,缩短系统响应时间。 5、主备、主备、主备,如果有条件做好主备容灾方案也是非常有必要的(参考某年锤子的活动被攻击)。 6、最后,为了支撑更高的并发,追求更好的性能,可以对服务器的部署模型进行优化,部分请求走正常的秒杀流程,部分请求直接返回秒杀失败,缺点是开发部署时需要维护两套逻辑。 分层优化 1、前端优化:活动开始前生成静态商品页面推送缓存和CDN,静态文件(JS/CSS)请求推送至文件服务器和CDN。 2、网络优化:如果是全国用户,最好是BGP多线机房,减少网络延迟。 3、应用服务优化:Nginx最佳配置、Tomcat连接池优化、数据库配置优化、数据库连接池优化
Java开发商品秒杀+限流+限时抢购+隐藏接口源码.zip
06-02
Java开发商品秒杀+限流+限时抢购+隐藏接口源码。适用于高并发场景下商品秒杀,包含内容商品超卖问题、接口访问限流问题、Redis限时抢购、隐藏秒杀接口、单用户限制访问频率!为什么使用秒杀】 严格防止超卖 库存100件 你卖了120件 等着辞职吧! 防止黑客 假如我们网站想下发优惠给群众,但是被黑客利用技术将下发给群众的利益收入囊中 保证用户体验 高并发场景下,网页不能打不开、订单不能支付 要保证网站的使用 搭建数据库 create database stockdb; use stockdb; # 用户 create table `user`( uid int primary key auto_increment, uname varchar(100), upwd varchar(50) ); # 商品 create table stock( id int primary key auto_increment, `name` varchar(50), `count` int, #库存数量 sale int, #已售 `version` int #版本号(乐观
隐藏秒杀接口地址
阳某的博客
01-06 2361
隐藏秒杀地址 隐藏秒杀接口地址后,确保秒杀开始前没有人知道地址。http是明文传输的,访问的url,参数都可见,若不做隐藏,恶意用户可以在秒杀活动开始前就访问秒杀接口地址秒杀项目完整代码地址:https://github.com/yang-mou/miaosha.git 思路: 1、第一次请求后台先验证用户是否登录和验证码是否正确,生成随机地址存入redis并且返回 2、带着地址请求后台,后...
秒杀接口隐藏方法
pol56815156的博客
01-10 174
秒杀接口隐藏 思路 秒杀开始后,点击秒杀按钮不是直接进行秒杀,而是获取秒杀接口地址。 每个人获得的秒杀地址都不一样。 获取到秒杀接口地址后,在进行秒杀操作 这种操作如何防止脚本? 秒杀接口并不是真正的秒杀接口,即使脚本知道这个秒杀接口也无法进行秒杀,时间到了才能获取到地址,并且地址具有一分钟的失效时间,等获取到了这个地址,添加进脚本的时候,已经被抢光了。 优化秒杀接口->秒杀...
【程序安全】- 接口地址隐藏
Brooks Lv
02-01 6909
理解:比如秒杀或抢购场景中,如果用户提前知道了接口地址,就可能出现狂刷接口的现象,为了防止这种情况发生,最好的方法就是不让用户获取到秒杀接口地址。有一种实现方式就是隐藏接口地址,所谓的隐藏是指,秒杀地址每次都是不同的,而且在地点秒杀按钮后,会先调用后端接口获取一个pathId,然后传回前端,拼接在秒杀接口上,再请求秒杀接口地址,这样每次点击按钮后,才会生成真正的秒杀接口地址。 好处:可以防止接口泄...
秒杀接口隐藏策略
pol56815156的博客
01-10 184
秒杀开始后,点击秒杀按钮不是直接进行秒杀,而是获取秒杀接口地址。每个人有专属秒杀地址,一定程度上防止了简单的脚本。
秒杀项目学习第七章
我不是什么好人
05-30 349
主要内容 秒杀接口地址隐藏 数学公式验证码 接口防刷 一、秒杀接口隐藏 思路:秒杀开始之前,先去请求接口获取秒杀地址 接口改造,带上PathVariable参数 添加生成地址接口 秒杀收到请求,先验证PathVariable 修改页面 就是在真正秒杀之前,加一层获取路径。 修改Controller 生成path,并写入Redis中,以便秒杀时可以验证路径 秒杀时从redis中取出路径进行验证 一个小修改 为了减少服务器压力,客户端秒杀轮询的时候时间间隔调大点 二、数学公式验证码 思路:点击
秒杀系统学习笔记,限时抢购,抢购接口隐藏
今晨的个人博客
11-05 532
限时抢购的实现 使用Redis来记录秒杀商品的时间,对秒杀过期的请求进行拒绝处理! 将秒杀商品放入Redis中并设置过期时间 使用String类型以kill+商品id的形式作为key以商品id作为value设置一定的过期时间(这里设置为180秒) 引入Redis依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-d
保护隐私:5 种隐藏计算机 IP 地址的方法
winkexin的博客
07-13 2137
根据设计,连接到 Internet 的每个设备都必须使用 IP 地址。这是分配给使用 TCP/IP 协议(被认为是标准)的任何网络连接的独特号码。使用它,数据可以交换,而不是迷路。一般来说,有两个 IP 地址标准:IP 版本 4(或 IPv4)和 IP 版本 6(或 IPv6)。所有具有互联网连接的设备都使用 IPv4,其中一些设备支持 IPv6。IPv6 是较新、更复杂且具有更多功能的 – 最终它将成为全球标准。
高性能Java秒杀系统优化(一)--秒杀接口地址隐藏
骏马逸动,心随你动的博客
03-04 1258
思路:秒杀开始之前,先去请求接口获取秒杀地址 1.接口改造,带上PathVariable参数 2.添加生成地址接口 3.秒杀收到请求,先验证PathVariable 注意:但是获取秒杀地址这个接口也有可能被恶意刷,可以使用验证码防刷。 1、goods_detail.htm 修改“立即秒杀”按钮事件(秒杀时间到,才会显示立即秒杀按钮),先获取秒杀地址,再发起秒杀,后面还会加多校验图形验...
怎么隐藏api接口地址php,php如何对Api接口限流
weixin_33979216的博客
03-10 581
php如何对Api接口限流计数器算法很简单,但是有个严重的bug:上图中,我们把一个时间窗口(一分钟)分成6份,每份(小格)代表10秒。每过10秒钟我们就把时间窗口往右滑动一格, 每一个格子都有自己独立的计数器。 比如一个请求在0:35秒到达的时候,就会落在0:30-0:39这个区间,并将此区间的计数器加1。从上图可以看出, 0:59到达的100个请求会落在0:50-0:59这个灰色的格子中, 而...
分布式秒杀系统
sangyuan6122的博客
03-19 1448
分布式秒杀系统 项目介绍 基于Spring+SpringMVC+Hibernate+Dubbo分布式开发系统架构,提供高并发、分布式秒杀系统解决方案,项目以电商业务为背景,主要包含商品管理、订单管理、支付中心、商家资金管理、买家资金管理、积分管理、可靠消息服务这七个模块。秒杀环节分别采用队列、乐观锁、分布式锁实现,分布式事务采用TCC、可靠消息服务两种方式,尽可能展示在高并发、分布式事务环境中的解...
如何隐藏一个内部使用的com接口
无限天空
08-08 1706
http://community.csdn.net/Expert/topic/3207/3207820.xml?temp=.44353881. BEGIN_OBJECT_MAP(ObjectMap) 中去掉 clsid, 内部使用 CreateInstence 创建 ,返回给外面2. 在组件类中设置成 DECLARE_NO_REGISTRY()    (不写注册表)3. 使用接口的时候
Jemter怎么压测商品秒杀接口
07-16
你可以使用JMeter来压测商品秒杀接口。下面是一些步骤: 1. 首先,确保你已经安装了JMeter。你可以从官方网站下载并安装JMeter。 2. 打开JMeter,创建一个新的测试计划。在测试计划上右键点击,选择"添加" -> "线程组"。线程组是一组并发用户,用于模拟多用户同时访问系统。 3. 在线程组上右键点击,选择"添加" -> "Sampler" -> "HTTP请求"。在HTTP请求中设置秒杀接口的URL和请求方法(如POST或GET)。 4. 在HTTP请求中设置请求参数。根据商品秒杀接口的要求,添加必要的参数,如商品ID、用户ID等。 5. 可以设置线程组的并发用户数和循环次数,以模拟多用户同时进行秒杀操作。 6. 添加监听器来查看测试结果。在线程组上右键点击,选择"添加" -> "监听器" -> "聚合报告"。聚合报告将显示每个请求的响应时间、吞吐量等信息。 7. 运行测试计划,查看压测结果。你可以根据聚合报告中的数据来评估商品秒杀接口的性能和稳定性。 请注意,在进行商品秒杀接口的压测时,需要确保你已经了解接口的设计和限流策略,并遵守相关的使用规则,以免对系统造成不必要的负担。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值