【Java】如何从代码角度解决接口重复(恶意)请求

一、场景分析

​ 在我们日常开发中，尤其是需要对外提供可供公网访问的接口API时，会有被人抓包，获取到接口地址，进行恶意/频繁访问的安全问题。解决这一问题的方法有很多种，今天给大家分享的是从代码角度，结合spring利用Redis的incr 递增函数，实现一个计数器，来解决这一问题。

二、incr 递增函数

​ Redis的incr命令是将key中存储的值递增,具有原子性

• 如果 key 不存在，那么 key 的值会先被初始化为 0 ，然后再执行 INCR 操作。
• 它们是原子性递增或递减操作。
• 它们是原子性递增或递减操作。

注：INCR 命令是一个针对字符串的操作。 因为 Redis 并没有专用的整数类型， 所以键 key 储存的值在执行 INCR 命令时会被解释为十进制 64 位有符号整数。

三、代码案例

​ 利用Redis的incr的原子递增特性，可以对接口访问做一个访问限制。结合SpringBoot，代码如下

@Resource
private RedisTemplate redisTemplate;
/**
 * 接口调用次数限制，一分钟内同一手机号请求60次，即为恶意请求
 * @param param 入参
 */
public boolean apiLimit(String param){
    String num = "1";
    //设置最大访问次数
    int maxNum = 60;
    //设置redis 递增key
    String limitKey = "limit"+param;
    //设置redis 黑名单key
    String warnKey = "warn"+param;
    Object res = redisService.get(limitKey);
    if(ObjectUtils.isEmpty(res)) {
        //初始一个redis缓存，值为“1”
        redisService.set(limitKey,num,60);
        return true;
    }else {
        //每次请求，值原子性加一
        long resNum = redisTemplate.opsForValue().increment(limitKey, 1);
        //比较递增后的值是否达到最大访问数
        if (resNum > maxNum){
            //如果超出最大访问数，拒绝改入参的接口访问，并设置黑名单5分钟
            redisService.redisTemplate.opsForValue().set(warnKey,"访问过于频繁",5*60);
            return false;
        }else {
            return true;
        }
  

四、场景拓展

​ incr函数不仅可以用于防止重复请求，也可以使用到其他业务中：

• 针对购物系统中的秒杀活动，多个用户同时下单，请求并发访问
• 因网络问题导致的保存/查询等按钮重复点击、重复提交问题
• 分布式系统中的多线程并发安全问题等