springboot项目中接口防止恶意请求多次,重复请求的解决办法,适合小白

已于 2023-04-06 12:18:21 修改
阅读量1.5w 收藏 73
点赞数 10
分类专栏: java 文章标签: spring boot java spring
于 2020-09-22 16:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40918145/article/details/108734614
版权

在项目中,接口的暴露在外面,很多人就会恶意多次快速请求,那我们开发的接口和服务器在这样的频率下的话,服务器和数据库很快会奔溃的,那我们该怎么防止接口防刷呢?由于博主小白,很多都不懂,都是从网上一点一点的找资料最后成功的。

看效果

 

解决方案:采用注解方式

其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提示错误信息。

具体实现

一、写一个注解,注解怎么写传送门:SpringBoot开发自定义注解_springboot 格式化 自定义注解_庸人1396的博客-CSDN博客

1、在进行开发自定义注解前需要在POM文件中添加aop依赖

<dependency>
	<groupId>org.springframework.boot</groupId>
   	<artifactId>spring-boot-starter-aop</artifactId>
</dependency>

2、写上自己的注解

package com.hi.rongyao.base.annotation;

import java.lang.annotation.*;

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AccessLimit {

    int seconds();
    int maxCount();
}

如图所示

二、重点是写下面的拦截器

package com.hi.rongyao.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.alibaba.fastjson.JSONObject;
import com.hi.rongyao.base.annotation.AccessLimit;
import com.hi.rongyao.base.bean.ReturnCode;
import com.hi.rongyao.base.bean.ReturnObject;
import com.hi.rongyao.base.exception.UserException;
import com.hi.rongyao.base.utils.RedisKey;
import com.hi.rongyao.base.utils.RedisUtil;
import com.hi.rongyao.user.UserContext;
import com.hi.rongyao.user.service.UserAuthService;

public class SessionInterceptor extends HandlerInterceptorAdapter {
	
    private static final Logger logger = LoggerFactory.getLogger(SessionInterceptor.class);

    @Autowired
    private UserAuthService userAuthService;

    @Autowired
    private UserContext userContext;
    
	@Autowired
	private RedisUtil redisUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String session = request.getHeader("Authorization");
        if (StringUtils.isEmpty(session)) {
            throw new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");
        }
        
        HandlerMethod hm = (HandlerMethod) handler;
        //获取方法中的注解,看是否有该注解
        AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
        if(accessLimit != null){
        	int seconds = accessLimit.seconds();
        	int maxCount = accessLimit.maxCount();
        	
        	//从redis中获取用户访问的次数

        	String ip = request.getHeader("x-forwarded-for");      // 有可能ip是代理的
            if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {      
                ip = request.getHeader("Proxy-Client-IP");      
            }      
            if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {      
                ip = request.getHeader("WL-Proxy-Client-IP");      
            }      
            if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {      
                 ip = request.getRemoteAddr();      
            } 

        	Integer count = (Integer)redisUtil.get(RedisKey.SECOND_ACCESS + ip);
        	if(count == null){
        		//第一次访问
        		redisUtil.set(RedisKey.SECOND_ACCESS + ip, 1, seconds);
        	}else if(count < maxCount){
        		//加1
        		count = count + 1;
        		redisUtil.incr(RedisKey.SECOND_ACCESS + ip, count);
        	}else{
        		//超出访问次数
                logger.info("访问过快ip  ===> " + ip + " 且在   " + seconds + " 秒内超过最大限制  ===> " + maxCount + " 次数达到    ====> " + count);
        		response.setCharacterEncoding("UTF-8");
        		response.setContentType("application/json; charset=utf-8");
        		ReturnObject result = new ReturnObject();
        		result.setCode(ReturnCode.OPERATION_FAILED.getCode());
        		result.setData("操作太快了");
        		Object obj = JSONObject.toJSON(result);
        		response.getWriter().write(JSONObject.toJSONString(obj));
        		return false;
        	}
        }
        
        Integer userId = userAuthService.getUserIdBySession(session);
        //获取登录的session进行判断
        if (userId == null || userId == 0) {
            throw new UserException(ReturnCode.BAD_REQUEST, "无效session");
        }
        
        userContext.setUserId(userId);
        return super.preHandle(request, response, handler);
    }
}

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Autowired
    private FangshuaInterceptor interceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(interceptor);
    }
}

三、在controller中调用这个注解

@Controller
public class FangshuaController {
    @AccessLimit(seconds=5, maxCount=5)
    @RequestMapping("/fangshua")
    @ResponseBody
    public Result<String> fangshua(){
        return Result.success("请求成功");
    }

总结

这里采用了注解方式(拦截器),结合redis来存储请求次数,达到上限就不让用户操作。当然,redis有时间限制,到了时间用户可以再次请求接口的。


参考文章一:springboot项目中接口防止恶意请求多次 - 简书
参考文章二:https://www.cnblogs.com/wanjun-top/p/12974538.html
感谢这两位大神的分享

木头没有瓜
关注
专栏目录
SpringBoot+Redis布隆过滤器防恶意流量击穿缓存的正确姿势
lifetragedy的专栏
01-13 2万+
什么是恶意流量穿透 假设我们的Redis里存有一组用户的注册email,以email作为Key存在,同时它对应着DB里的User表的部分字段。 一般来说,一个合理的请求过来我们会先在Redis里判断这个用户是否是会员,因为从缓存里读数据返回快。如果这个会员在缓存不存在那么我们会去DB查询一下。 现在试想,有千万个不同IP的请求(不要以为没有,我们就在2018年和2019年碰到了,因为...
企业如何从SpringBoot应用平滑迁移到云原生K8s平台
梵高
05-28 1493
企业从SpringBoot应用向云原生转型技术解决方案
springboot基于redis防止接口恶意刷新和暴力请求
01-17
资源相关博客:https://blog.csdn.net/u013938578/article/details/128717396
SpringBoot接口防抖(防重复提交)的一些实现方案
最新发布
Admans的专栏
08-15 705
设置额外选项:过期时间和SET_IF_ABSENT选项”,有些同学可能不太清楚SET_IF_ABSENT是个啥,这里我解释一下:SET_IF_ABSENT是 RedisStringCommands.SetOption 枚举类的一个选项,用于在执行 SET 命令时设置键值对的时候,如果键不存在则进行设置,如果键已经存在,则不进行设置。从测试的结果上看,防抖是做到了,但是随着缓存消失、锁失效,还是可以发起同样的请求,所以要真正做到接口幂等性,还需要业务代码的判断、设置数据库表的UK索引等操作。
10、springboot-防止接口大量重复请求
aunt_y的博客
05-26 2332
由于我们的服务器资源有限,需要对请求进行限制 过程:获得请求后,放入set锁的方法进行判断,不是重复提交的请求则获得执行进程的能力,并设置对应当前请求锁的过期时间,如果在过期时间前的再次请求则视为重复请求,不执行进程 @Around(value = "pointCut(avoidRepeatSubmit)", argNames = "pjp,avoidRepeatSubmit") public Object around(ProceedingJoinPoint pjp, AvoidRepeatSubmit
Spring Boot教程十七:防止接口恶意刷新和暴力请求
王树钰的博客
10-13 1万+
在实际项目使用,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的; 首先工程为springboot框架搭建,不再详细叙述。直接上核心代码。 首先创建一个自定义的拦截器类,也是最核心的代码; /** *...
接口频繁请求,被刷爆怎么办
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
02-19 1291
在面试时,经常会被问一个问题:如何防止别人恶意接口?这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。
Spring boot通过AOP防止API重复请求代码实例
08-25
主要介绍了Spring boot通过AOP防止API重复请求代码实例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
前端接口防止重复请求实现方案
程序员成长指北
03-09 207
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群前言前段时间老板心血来潮,要我们前端组对整个的项目都做一下接口防止重复请求的处理(似乎是有用户通过一些快速点击薅到了一些优惠券啥的)。。。听到这个需求,第一反应就是,防止薅羊毛最保险的方案不还是在服务端加限制吗?前端加限制能够拦截的毕竟有限。可老板就是执意要前端搞一下子,行吧,搞就搞吧,you ...
面试官常问的Java面试题分享【持续更新】
weixin_52340995的博客
05-22 844
面试官常问的Java面试题分享作者想要说的话1.什么是J2EE技术?2.JDK 和 JRE 有什么区别?3.final 在 java 有什么作用?4.Java八大基本类型有哪些?5.java操作字符串都有哪些类?6.String 类的常用方法都有那些?7.抽象类必须要有抽象方法吗?8.普通类和抽象类有哪些区别?9.java IO 流分为几种?10.BIO、NIO、AIO 有什么区别?11.List、Set、Map 之间的区别是什么?12.迭代器 Iterator 是什么?13.并行和并发有什么区别
499 道 Java 面试题 (附答案):JVM+ 分布式 + 算法 + 锁 +MQ+ 微服务 + 数据库
2401_83412285的博客
04-23 385
既已说到spring cloud alibaba,那对于整个微服务架构,如果想要进一步地向上提升自己,到底应该掌握哪些核心技能呢?就个人而言,对于整个微服务架构,像RPC、Dubbo、Spring BootSpring Cloud Alibaba、Docker、kubernetes、Spring Cloud Netflix、Service Mesh等这些都是最最核心的知识,架构师必经之路!下图,是自绘的微服务架构路线体系大纲,如果有还不知道自己该掌握些啥技术的朋友,可根据小编手绘的大纲进行一个参考。
Java】爬虫,能不能再详细讲讲?万字长文送给你!
midnight_time的博客
07-16 3288
前言 本文仅用于学习知识探讨,绝无其它恶意。 前两篇基础文章链接: 《【Java】爬虫,看完还爬不下来打我电话 》 《【Java】爬虫,数据持久化到MongoDB》 本文打算再详细的讲讲一些流程细节,另外,最后有写到如何分析爬取下来的内容。 在开始正文之前,还要说清一件事:我是小白,能不能学会爬虫? 答:学不会,别学了,放弃吧。赶紧拿起手机,打游戏吧。这么热的天,哪凉快哪去,千万别遭这个罪。 正文...
实现防止接口重复访问-Java-SpringBoot
qq_45822726的博客
02-22 1181
在上面的代码,我们假设从请求获取了userId,然后将其与接口路径拼接成Redis的键,用于存储该用户上次访问该接口的时间。在preHandle方法,首先从Redis获取该用户上次访问该接口的时间,如果时间间隔小于5分钟,则返回错误信息;否则,将当前时间存储到Redis,并放行该请求。在拦截器可以从Redis获取该用户上次访问该接口的时间,并计算与当前时间的时间间隔。在上面的代码,我们假设需要限制访问时间间隔的接口都以“api”为前缀,因此只需要对以“api”开头的请求进行拦截即可。
接口重复提交解决方案
weixin_30571465的博客
06-20 549
/** * 防止重复提交的注解 */ @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD}) public @interface AvoidRepeatSubmit { long lockTime() default 1000; }    import com.mu...
SpringBoot利用AOP防止请求重复提交
卡哇伊的码农
06-19 1万+
前言 在传统的web项目,为了防止重复提交,通常做法是:后端生成唯一的提交令牌(uuid),存储在服务端,页面在发起请求时,携带次令牌,后端验证请求后删除令牌,保证请求的唯一性。 但是,上诉的做法是需要前后端都需要进行改动,如果在项目初期,是可以实现的,但是,在项目的后期,很多功能都实现好了,不可能大范围的去改动。 思路 1.自定义注解@NoRepeatSubmit 标记所有Controller...
如何防止接口重复请求
热门推荐
weixin_33757911的博客
06-11 1万+
如何防止接口重复请求 问题 最近遇到一个接口重复请求导致数据异常的bug,场景是这样的: 在一个通知模块,老师发送通知给家长,家长点开通知后客户端需要调用一个ack接口告诉服务器该家长已经读取该通知,并在notify_read表插入该家长的信息,内容大概是(notify_id, member_id),并把通知表notify的read_num字段+1。当遇到网络问题时,客户端会多次请求接口。 i...
springboot如何防止恶意刷新,暴力请求接口
delete_bug的博客
06-05 1903
防止恶意请求接口
springboot接口重复提交
GodFatherMisZhao的博客
03-05 512
接口重复提交
Sprintboot 防止重复请求
编程技术
09-01 793
SpringBoot下的防止重复请求
springboot项目请求接口无响应
05-11
出现请求接口无响应的情况,可能是以下几个原因: 1. 接口地址错误:请检查请求接口地址是否正确,包括协议、域名、端口、路径等信息。 2. 参数错误:请检查请求参数是否正确,包括参数名、数据格式、数据类型等信息。 3. 请求方式错误:请检查请求方式是否正确,包括GET、POST等请求方式。 4. 服务端故障:请检查服务端是否正常运行,包括服务是否开启、端口是否被占用、服务是否崩溃等情况。 5. 网络问题:请检查网络是否正常,包括网络连接是否稳定、是否存在防火墙、是否存在代理等情况。 您可以根据以上原因逐一排查,找到问题所在并进行相应的处理。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值