接口限流防刷解决方案

最新推荐文章于 2024-05-30 19:36:02 发布
最新推荐文章于 2024-05-30 19:36:02 发布
阅读量1.3k 收藏 8
点赞数 2
分类专栏: tomcat 文章标签: nginx 限流 防刷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38938840/article/details/103560962
版权

最近要做一个接口供其他开发者调用。除了做接口安全方便策略(https/请求头部加时间戳/表单参数非对称加密)

显然这些是不够的,这次记录一下接口限流防止恶意请求的解决过程。

项目背景:springboot 2.1.8  redis

代码思路

新建一个注解类--> 拦截器--> 注册到springboot --> 将注解应用到具体Controller上

第一步:

首先我们编写注解类AccessLimit,使用注解方式在方法上限流更优雅更方便!三个参数分别代表有效时间、最大访问次数、是否需要登录,可以理解为 seconds 内最多访问 maxCount 次。

/**
 * @ClassName AccessLimit
 * @Deacription 接口限流防刷注解类
 * @Author Libin
 * @Date 2019/12/16 10:50
 * @Version 1.0
 **/
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {
    /**
     * 三个参数分别代表有效时间(默认5秒)、最大访问次数(默认5次)、是否需要登录(默认为true),可以理解为 seconds 内最多访问 maxCount 次。
     */
    int seconds() default 5;
    int maxCount() default 5;
    boolean needLogin() default true;
}

第二步:

新建一个拦截器,

限流的思路

1.通过路径:ip的作为key,访问次数为value的方式对某一用户的某一请求进行唯一标识

2.每次访问的时候判断key是否存在,是否count超过了限制的访问次数

3.若访问超出限制,则应response返回msg:请求过于频繁给前端予以展示

package com.sinotn.examvetweb.hander;

import com.alibaba.fastjson.JSON;
import com.sinotn.examvetcommon.utils.StringUtils;
import com.sinotn.examvetmodel.model.Result;
import com.sinotn.examvetmodel.model.SysStatusEnum;
import com.sinotn.examvetmodel.vo.frameuser.SessionUser;
import com.sinotn.examvetweb.controller.BaseController;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.concurrent.TimeUnit;

/**
 * @ClassName AccessLimtInterceptor
 * @Deacription 实现登录拦截以及接口限流
 * @Author Libin
 * @Date 2019/12/16 10:53
 * @Version 1.0
 **/
@Component
public class AccessLimtInterceptor implements HandlerInterceptor {
    @Autowired
    private RedisTemplate redisTemplate;
    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {

        //判断请求是否属于方法的请求
        if (handler instanceof HandlerMethod) {
            HandlerMethod hm = (HandlerMethod) handler;
            //获取方法中的注解,看是否有该注解
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if (null == accessLimit) {
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean needLogin = accessLimit.needLogin();
            //判断是否登录
            Result result = null;
            if (needLogin) {
                // 校验登录
                
            }
            String key = BaseController.getIpAddressByRequest(request);
            /**
             * redisTemplate 由于序列化方式不同会导致计数incr操作报错。
             * 这里为了维持原有缓存方式序列化不变,换成stringRedisTemplate代替计数操作.
             * 所有计数操作用stringRedisTemplate
             * 此处应将redis操作封装成工具类统一操作。后续更新
             */
            String countStr = stringRedisTemplate.boundValueOps(key).get();
            // 第一次访问
            if (StringUtils.isEmpty(countStr)) {
                stringRedisTemplate.opsForValue().set(key,String.valueOf(1), seconds, TimeUnit.SECONDS);
                return true;
            }
            int count = Integer.parseInt(countStr);
            if (count < maxCount) {
                //计数
                stringRedisTemplate.boundValueOps(key).increment();
                return true;
            }
            if (count >= maxCount) {
                // response 返回 json 请求过于频繁请稍后再试
                result = new Result(SysStatusEnum.VISIT_FREQUENTLY.getCode(), SysStatusEnum.VISIT_FREQUENTLY.getMsg());
                return backError(response, result);
            }
        }
        return true;
    }

    private boolean backError(HttpServletResponse response, Result result)  {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        try(PrintWriter out = response.getWriter()){
            out.write(JSON.toJSONString(result));
            out.flush();
        }catch (IOException e){
            e.printStackTrace();
        }
        return false;
    }
}

第三步:

注册拦截器并配置拦截路径和不拦截路径。以及静态资源或者跨域配置

**
 * @author Libin
 * @title: MvcConfigurer
 * @description: 全局配置
 * @date 2019/9/10 10:07
 */
@Configuration
public class MvcConfigurer implements WebMvcConfigurer {

    @Autowired
    private AccessLimtInterceptor accessLimtInterceptor;

    /**
     * 拦截器配置
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 增加一个拦截器,检查会话,URL都使用此拦截器
        registry.addInterceptor(accessLimtInterceptor)
                .addPathPatterns("/**")
                // 不被拦截的路径
                .excludePathPatterns("一般是登录注册这种不拦截的路径");
    }

    /**
     * 配置资源访问
     * @param registry
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }
    /**
     * 跨域访问配置
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedMethods("GET", "POST")
                .allowedHeaders("*")
                .allowCredentials(true)
                // 上线后这里指定前端页面的域名和端口
                .allowedOrigins("*");
    }
}

第四步:

Controller层的方法上直接可以使用注解@AccessLimit

@RestController
@RequestMapping("test")
public class TestControler {

    @GetMapping("accessLimit")
    @AccessLimit(seconds = 3, maxCount = 10)
    public String testAccessLimit() {
        //xxxx
        return "";
    }
}

Nginx  实现限流访问的一些配置

具体nginx限流文章参考:https://blog.csdn.net/qq_38085855/article/details/82699536

具体nginx最全中文配置示意参考:https://blog.csdn.net/weixin_38938840/article/details/103292217

location 转发部分配置截图:

# api 工程代理转发
        location /api/ {
               # 限流配置 burst=5,每个IP最多允许5个突发请求的到来 nodelay降低排队时间
               limit_req zone=ip_limit burst=5 nodelay;
               # 自定义限流阻断返回状态码
               limit_req_status 598;
               #解决https请求http资源不安全不可用的情况
	             add_header Content-Security-Policy upgrade-insecure-requests;
               #解决https http 请求跨域解决
               add_header 'Access-Control-Allow-Origin' '*';
               add_header 'Access-Control-Allow-Credentials' 'true';
               add_header 'Access-Control-Allow-Headers' '*';
               add_header 'Access-Control-Allow-Methods' 'PUT,POST,GET,DELETE,OPTIONS';
               #转发至服务器集群列表
               proxy_pass http://api_server_list;
               proxy_redirect off;
               #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
               proxy_set_header X-Real-IP $remote_addr;
               proxy_set_header Host $host;
	             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }

 

islibin6666
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
限流实现方案
lsblsb的专栏
04-06 1万+
限流实现方案 api限流实现
java AOP接口防刷代码
12-12
在这个"java AOP接口防刷代码"中,我们很可能是找到了一种防止接口被恶意频繁调用的解决方案,这在Web应用中尤其重要,因为接口被刷可能会导致服务器资源耗尽,甚至影响正常用户的服务。 AOP的工作原理是通过动态...
Java 限流接口实现
weixin_45817985的博客
12-21 92
Java 限流接口实现
nginx 防刷
最新发布
05-30 201
分布式缓存:利用nginx的反向代理功能,结合分布式缓存系统(如Redis等),将用户的请求先通过缓存系统验证,避免直接访问后端服务器,减少攻击对服务器的冲击。访问频率限制:可以通过nginx配置对IP或用户的访问频率进行限制,对于超过一定访问频率的请求,可以进行拦截或限制访问速度。动态黑名单:通过监控系统的异常访问行为,将恶意IP或用户行为加入黑名单,nginx可以根据黑名单规则进行过滤。验证码机制:对于重要的接口或登录等操作,可以加入验证码机制,防止恶意攻击者通过自动化脚本进行攻击。
接口限流算法总结
ankuaixiao2504的博客
09-07 253
背景 曾经在一个大神的博客里看到这样一句话:在开发高并发系统时,有三把利器用来保护系统:缓存、降级和限流。那么何为限流呢?顾名思义,限流就是限制流量,就像你宽带包了1个G的流量,用完了就没了。通过限流,我们可以很好地控制系统的qps,从而达到保护系统的目的。本篇文章将会介绍一下常用的限流算法以及他们各自的特点。 算法介绍 计数器法 计 数器法是限流算法里最简单也是最容易实现的一种...
接口服务限流方案
anguoan的博客
02-21 488
接口服务限流方案
SpringBoot项目中接口限流实现方案
asoklove的专栏
03-28 2212
环境:springboot2.3.9 + Guava30.1.1-jre 限流算法 一般有漏桶算法和令牌桶算法及计数器三种方式。 计数器 用计数器实现限流有点简单粗暴,一般我们会限 制一秒钟的能够通过的请求数,比如限流QPS为100,算法的实现思路就是从第一个请求进来开始计时,在接下去的1s内,每来一个请求,就把计数加1,如果累加的数字达到了100,那么后续的请求就会被全部拒绝。等到1s结束后,把计数恢复成0,重新开始计数。 具体的实现可以是这样的:对于每次服务调用,可以通过 AtomicLong
库存秒杀问题-redis解决方案- 接口限流
runwuwushengxiyu的博客
05-06 69
库存秒杀问题-redis解决方案- 接口限流
基于SpringBoot和Thymeleaf的大学网上选课系统设计源码
04-08
大学网上选课系统 - 基于SpringBoot和...该系统为大学网上选课提供了高效、稳定的解决方案,通过加入缓存、消息队列、接口限流防刷等优化,确保系统在高并发场景下的稳定运行,为用户提供了一个易用、可靠的选课平台。
基于spring-boot开发的分布式系统的反爬虫、防接口盗刷组件。.zip
04-08
4. **速率限制**:通过限流算法,如漏桶或令牌桶,控制接口调用速率,防止短时间内大量请求。 5. **会话管理**:使用JWT(JSON Web Token)或Session进行用户认证,防止无权限访问。 6. **行为分析**:分析请求模式...
当当网高可用移动入口与搜索技术架构.docx
10-14
为了优化用户体验,当当网通过防刷算法拒绝疑似攻击请求,并优先服务会员和正在进行重要操作的用户。 2. **限流引擎子系统**: - 限流策略根据后端应用服务器负载动态调整,无需改动应用服务器代码,降低了维护...
2.基于Dubbo微服务框架亿级网关架构解密1
08-03
1. **接入层**:负责鉴权、防刷、IP黑名单和限流。 2. **分发层**:实现请求的异步化、资源隔离、泛化调用。 3. **熔断降级层**:根据预设策略执行熔断和降级操作。 4. **监控层**:提供慢接口监控、调用量统计、...
接口限流算法及解决方案
漏水亦凡的专栏
08-27 4655
参考: 接口限流算法:漏桶算法&amp;amp;amp;amp;令牌桶算法 redisson实现分布式限流 一、限流算法 1. 漏桶算法 2. 令牌桶算法 二、令牌桶算法VS漏桶算法 三、解决方案 1. 使用Guava的RateLimiter进行限流控制(单机) 2. 使用Semphore进行并发流控(单机) 3. redisson实现分布式限流 工作中对外提供的API ...
接口限流-解决幂等性问题
贺明香的博客
06-06 135
接口限流前言一、Annotation二、Aspect三、使用 前言 这里需要用到redis 和spring的 apo操作 一、Annotation @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface Limit { /** * 资源名称,用于描述接口功能 */ String name() default ""; /** * 资源 key
秒杀系统的设计与实现(二)接口限流方案
weixin_45795349的博客
02-17 1547
接口限流方案 上面那个虽然解决了超卖的问题,但一般秒杀场景都有很多人,可能会出现大规模的请求,势必会对接口服务器造成大量压力,。严重可能会导致服务器宕机,使用便有了接口限流 1、什么是接口限流 所谓接口限流:是对某一时间窗口内的请求数进行限制,保持系统的可用性和稳定性,防止因流量暴增而导致的系统运行缓慢或宕机 2、为什么要接口限流 在面临高并发的抢购请求时,我们如果不对接口进行限流,可能会对后台系统造成极大的压力。大量的请求抢购成功时需要调用下单的接口,过多的请求打到数据库会对系统的稳定性造成影响。 3、如
高并发接口限流方案
MELF晓宇的博客
02-22 1762
高并发系统用于保护系统有三种利器:缓存、降级、限流。 服务端限流的方案可以归纳为两窗两桶(固定窗口,滑动窗口,漏桶算法,令牌桶算法) 固定窗口法 固定时间周期划分时间为多个时间窗口,如:每10秒为一个时间窗口 在每个时间窗口内,每有一个请求,计数器加一 当计数器超过限制,丢弃本窗口之后的所有请求 当下一时间窗口开始,重置计数器 缺点 通过请求量为允许限制的两倍 假设限制1秒内最多通过10个请求,在第一个窗口的最后半秒内通过了10个请求,第二个窗口的前半秒内又通过了10个请求。这样看来就是在1秒内通
高并发接口限流解决实现相关技术指南
yan_dk的专栏
06-14 286
系统在网络环境上线后,网站的安全性是开发及运维需要考虑的重要问题,这里我们谈到的是防止黑客DDOS攻击,进行接口限流解决方案。 Redis实现接口限流解决方案 redis的安装及php扩展可参见:https://mp.csdn.net/postedit/89470966 本机的调试环境在上文中windows安装及redis服务器启动都已谈过。 需求分析:我们可以根据访问ip...
限流的一些解决方案
guanfengliang的专栏
11-06 1662
什么是限流? 字面的意思就是限制流量,为啥要限流呢?限流在高并发场景中经常用到的自我保护的手段,不如你系统只能维持500并发,突然有一万人的访问,如果不做限制,你的系统就会崩溃,限流是系统健壮性保护的一种手段,也可以防止恶意的攻击。 限流算法 限流的算法有很多,常用的有简单粗暴的计数器、漏斗算法、令牌桶算法。 计数器 所谓计数器就是指单位时间内允许通过的访问量,一般我们会设置1s内允许通过请求量。比如限流qps为100,算法的实现思路就是从第一个请求进来开始计时,在接下去的1s内,每来一个请求,就
并发场景下,Spring Boot + Redis 实现接口限流防刷
06-09
在并发场景下,为了保证接口的可靠性和稳定性,我们可以使用 Redis 来实现接口限流防刷。 具体实现方法如下: 1. 首先,在 Spring Boot 项目中引入 Redis 相关的依赖,如 jedis、lettuce 等。 2. 在 Redis 中设置一个 key,用来记录请求次数或者时间戳等信息。 3. 在接口中加入拦截器,对请求进行拦截,并从 Redis 中获取相应的 key 值,判断是否达到限流防刷的条件。 4. 如果达到条件,可以返回一个自定义的错误码或者错误信息,或者直接拒绝请求。 5. 如果没有达到条件,则更新 Redis 中的 key 值,并放行请求。 下面是一个简单的示例代码: ```java @Component public class RateLimitInterceptor implements HandlerInterceptor { private final RedisTemplate<String, String> redisTemplate; @Autowired public RateLimitInterceptor(RedisTemplate<String, String> redisTemplate) { this.redisTemplate = redisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String key = request.getRemoteAddr(); String value = redisTemplate.opsForValue().get(key); if (value == null) { redisTemplate.opsForValue().set(key, "1", 60, TimeUnit.SECONDS); // 60秒内最多访问1次 } else { int count = Integer.parseInt(value); if (count >= 10) { // 10次以上就限流 response.sendError(HttpStatus.TOO_MANY_REQUESTS.value(), "Too many requests"); return false; } else { redisTemplate.opsForValue().increment(key); } } return true; } } ``` 在上面的代码中,我们使用 Redis 记录了每个 IP 地址的访问次数,并且在 60 秒内最多只能访问 1 次。如果访问次数超过了 10 次,则返回状态码 429(Too many requests)。 当然,这只是一个简单的示例,实际应用中我们可能需要更加复杂的限流策略和防刷机制,但是基本原理都是类似的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值