Springboot AOP接口防刷、防重复提交

最新推荐文章于 2024-03-13 09:27:06 发布
最新推荐文章于 2024-03-13 09:27:06 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: Springboot 文章标签: aop java spring boot redis
本文链接:https://blog.csdn.net/weixin_44304887/article/details/106382504
版权

日常开发项目中,经常会要求部分接口做防刷、防重复提交的拦截,比如:获取验证码(前端亦可加入倒计时实现,60秒不能再次获取),下单接口 (网络原因或其他什么原因,有时候点击下单支付,感觉没反应 连点了n次, 导致几秒内相同一个东西支付下单了多笔,被银行风控的情况)等等,所以有些接口我们有必要做防重复提交的拦截,今天就来简单聊聊这个话题.

首当其冲肯定是先引入AOP依赖,maven为例 pom.xml

<!-- aop依赖 -->
<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-aop</artifactId>
</dependency>
<!-- JSON依赖 -->
<dependency>
   <groupId>net.sf.json-lib</groupId>
   <artifactId>json-lib</artifactId>
   <version>2.4</version>
   <classifier>jdk15</classifier>
</dependency>
<!-- redis依赖 -->
<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

有了AOP的支持 接下来我们进行自定义注解 NoRepeatSubmit



import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD)//作用于方法上
@Retention(RetentionPolicy.RUNTIME)//运行时
public @interface NoRepeatSubmit {

    /**
     * 设置请求锁定时间  默认5秒
     */
    int lockTime() default 5000;
    /**
     * 当发生重复提交时候默认返回的错误信息
     */
    String errMsg() default "重复提交,请 second 秒后重试";
}

RepeatSubmitAspect切面
package com.karo.unicorn.aspect;

import com.karo.unicorn.annotation.NoRepeatSubmit;
import com.karo.unicorn.common.result.ResultAPI;
import com.karo.unicorn.utils.ObjectUtil;
import com.karo.unicorn.utils.http.HttpContextUtils;
import com.karo.unicorn.utils.json.JSONUtil;
import lombok.extern.slf4j.Slf4j;
import net.sf.json.JSONObject;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisCallback;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import java.util.Objects;

/**
 * @ClassName RepeatSubmitAspect
 * @Description TODO :
 * @Author :Panguaxe
 * @Date 2020-05-26 16:08
 * @Version V1.0
 */
@Slf4j
@Aspect
@Component
public class RepeatSubmitAspect {

    @Autowired
    private RedisTemplate redisTemplate;

    @Pointcut("@annotation(noRepeatSubmit)")
    public void pointcut(NoRepeatSubmit noRepeatSubmit) {
    }

    @Around("@annotation(noRepeatSubmit)")
    public Object around(ProceedingJoinPoint joinPoint, NoRepeatSubmit noRepeatSubmit) throws Throwable {
        log.warn("AOP防重复提交设置的加锁时间:{}", noRepeatSubmit.lockTime());
        HttpServletRequest request = HttpContextUtils.getHttpServletRequest();
        // 请求的方法参数值  POST的JSON请求request.getParameter()是获取不到值的
        Object[] args = joinPoint.getArgs();
        JSONObject requestParams = ObjectUtil.isNotBlank(args) ? JSONObject.fromObject(args[0]) : null;
        log.warn("AOP防重复提交[" + request.getRequestURI() + "]接口的请求参数:{}",requestParams);
        // 此处可以用token或者JSessionId  TODO 或者使用用户ID作为标识
        //String token = request.getHeader("Authorization");//根据自己业务替换为你的唯一标识
        //String token = request.getHeader("token");//根据自己业务替换为你的唯一标识
        String key = JSONUtil.getValNetsf(requestParams, "userId") + request.getServletPath();
        log.warn("AOP防重复提交,加锁Key[" + key + "]:{}",requestParams);
        boolean isSuccess = tryLock(key, noRepeatSubmit.lockTime());
        log.warn("AOP防重复提交,是否放行:{}",isSuccess ? "放行" : "拦截重复提交");
        if (!isSuccess) {// 获取锁失败,认为是重复提交的请求
            return new ResultAPI().error(noRepeatSubmit.errMsg().replace("second",String.valueOf(noRepeatSubmit.lockTime()/1000)),"");
        }
        // 获取锁成功, 执行进程
        Object result;
        try {
            result = joinPoint.proceed();
        } finally {
            redisTemplate.delete(key);// 解锁
        }
        return result;
    }

    /**
     * @MethodName: tryLock
     * @Param: [key --- key值, lockSeconds  时长]
     * @Return: boolean       是否获取到
     * @Author: Panguaxe
     * @Date: 2020-05-26 16:13
     * @Description: TODO          最终加强分布式锁
     */
    private boolean tryLock(String key, int lockSeconds) {
        //lambda表达式
        return (Boolean) redisTemplate.execute((RedisCallback) connection -> {
            long expireAt = System.currentTimeMillis() + lockSeconds + 1;
            log.warn("失效时间:{}", expireAt);
            Boolean acquire = connection.setNX(key.getBytes(), String.valueOf(expireAt).getBytes());
            if (acquire) {
                return true;
            }
            byte[] value = connection.get(key.getBytes());
            if (Objects.nonNull(value) && value.length > 0) {
                if (Long.parseLong(new String(value)) < System.currentTimeMillis()) {
                    // 如果锁已经过期
                    byte[] oldValue = connection.getSet(key.getBytes(),String.valueOf(System.currentTimeMillis() + lockSeconds + 1).getBytes());
                    // 防止死锁
                    return Long.parseLong(new String(oldValue)) < System.currentTimeMillis();
                }
            }
            return false;
        });
    }
}

其中ResultAPI为统一返回结果

使用示例:

    //@Validated({Update.class,Create.class}) //也可以注释掉 此注解为个人测试自定义参数校验注解用
    @NoRepeatSubmit(lockTime = 3000)//3000即3秒内不能重复提交
    @ExceptionHandler(value = Exception.class)//此处可注释掉 统一异常处理
    @PostMapping("noRepeatSubmit")
    public APIResult noRepeatSubmit(@RequestBody @Validated({Update.class,Create.class})  UserInfo userInfo){
        log.warn("请求参数:{}", JSON.toJSONString(userInfo));
        APIResult result = new APIResult();
        try {
            result.success(userInfo);//因为仅测试防重复提交拦截  不做业务处理 直接请求参数返回 仅验证3秒内同一用户 同一接口不能重复提交
        }catch (Exception e){
            result.systemError(e.getMessage());
        }
        return result;
    }

 

花心道人
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot系列——防重放与操作幂等.doc
07-13
SpringBoot系列——防重放与操作幂等.doc
后端接口防重几种策略
苦行僧
02-15 6197
文章目录背景方案策略一:唯一索引机制策略二: 分布式锁策略三:缓存计数器 背景 在开发中很容易忽略接口防重的场景,比如交易中支付防重问题、营销系统中C端领取优惠券接口防重等等处理不当很容易引起资损。 方案 主流方式有三种策略:唯一索引机制、分布式锁和缓存计数器。 策略一:唯一索引机制 新建一个表用于存储锁的记录, CREATE TABLE `Lock` ( `id` int(11) unsign...
spring boot 实现一个 禁止重复请求
最新发布
活到老学到老
03-13 468
2.创建自定义注解 创建一个自定义的注解,用于标注需要进行重复请求限制的方法。在拦截器中可以使用一个容器来存储已处理的请求,比如使用ConcurrentHashMap。通过自定义注解、拦截器和容器,可以实现对重复请求的限制。这样,当重复请求该方法时,会返回"Duplicate request",避免重复执行相同的操作。现在,只需要在需要进行重复请求限制的方法上添加@NoRepeatRequest注解即可。4.注册拦截器 在配置类中注册拦截器,并将其应用于需要进行重复请求限制的方法。
微服务接口防刷防重、限量设计
JavaEdge全是干货的技术号
05-21 2074
安全兜底分级:再划分处理级别。人力、时间有限,很难将所有安全兜底完美,优先保证一些损失影响可能较大的业务。最常见的短信验证码服务,由于是注册用,所以无需登录就能调用。若发短信接口无任何保护措施,直接调用三方短信通道,很容易被短信轰炸平台滥用。验证客户端请求头的一些额外参数,如是否存在浏览器或手机型号、设备分辨率请求头。爬虫一般只能接收到URL。无论何种客户端注册,一定要先进入注册页,才能看到验证码按钮。 可在页面打开时请求固定的前置接口,为这设备开启允许发送验证码的窗口,之后的请求发送验证码才算合法请求。这
如何优雅的实现接口防刷,看过来!!!
ybb_ymm的专栏
04-07 1763
我们的签名就是为了止攻击者对我们的timestamp人工更改所作的措施,毕竟攻击者从抓包到重放请求已经远超过了60S,这个时候参数中的timestamp已经过期了,如果攻击者更改时间错,则数字签名就会校验失败。因为,攻击者是不知道签名秘钥的。这一方案,timestamp和nonceStr两者作为签名的一部分传到了后端,鉴于上面的timestamp方案使得攻击者只能在60S内进行了重放攻击操作,我们有通过了nonceStr随机数进行了60S内只能进行一次接口调用,则保证了我们接口避免重放攻击的漏洞!
美团太狠:接口被恶刷10Wqps,怎么
架构师尼恩
06-06 823
接口被狂刷10Wqps,怎么破?其实是一个架构问题。甚至是一个架构难题。架构和高级开发不一样 , 架构的问题是open的、开发式的、没有标准答案的。高并发的架构之路,其实是充满了坎坷。在做架构过程中,或者在转型过程中,如果遇到复杂的场景,确实不知道怎么做架构方案,确实找不到有底的方案,怎么办?可以来找40岁老架构尼恩求助.就在前几天,一个小伙伴遇到了一个电商网站的黄金链路架构, 开始找不到思路,但是经过尼恩 10分钟语音指导,一下就豁然开朗。
优雅的接口防刷处理方式,看这一篇就够了(经典)
gb4215287的博客
10-15 501
优雅的接口防刷处理方式,看这一篇就够了
SpringBoot】之接口设计篡改和防重放攻击
王廷云的博客
09-12 4724
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
教你如何实现接口防刷
Bummon的学习随笔
08-10 191
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口防刷的一种处理方式,通过在一定时间内限制同一用户对同一个接口的请求次数,其目的是为了止恶意访问导致服务器和数据库的压力增大,也可以止用户重复提交
使用aopredis计数来控制单位时间内对某接口的访问量,止刷验证码接口之类的
coder_daniu的博客
08-01 789
转自:https://blog.csdn.net/tianyaleixiaowu/article/details/74549145 使用自定义注解的方式,在需要被限制访问频率的方法上加注解即可控制。 看实现方式,基于springbootaopredis。 新建Springboot工程,引入redisaop。 创建注解 package com.tianyalei.annotatio...
SpringBoot接口防刷(限制指定用户对指定接口指定时间范围内的访问次数)
liuerpeng1904的博客
10-11 3418
在你请求的时候,服务器通过redis记录下你的请求次数,如果次数超出限制,则不给访问,在redis保存key是有时效性的,过期就会删除。这次我们使用 注解 拦截器 缓存 来实现这个功能。
java AOP接口防刷代码
12-12
java AOP接口防刷代码下载可用
springboot+redis+AOP 止表单重复提交
05-07
每次请求保证唯一性, 从而保证幂等性, 通过spring aop+注解, 就不用每次请求都写重复代码
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
SpringBoot AOP各种注解、自定义注解、鉴权使用案例(免费下载)
02-24
SpringBoot AOP各种注解、自定义注解、鉴权使用案例SpringBoot AOP各种注解、自定义注解、鉴权使用案例SpringBoot AOP各种注解、自定义注解、鉴权使用案例
Springboot接口项目如何使用AOP记录日志
08-19
主要介绍了Springboot接口项目如何使用AOP记录日志,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
必会接口防刷案例
BASK2312的博客
02-01 1438
实现原理是利用拦截器拦截所有接口请求,然后对需要防刷接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后的每次请求都会使访问次数加一。为了止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口防刷(重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口防刷。我在第一次请求后的30秒内连续访问超过5次请求,会输出我的报错信息,工作中可以跳转自己的错误页面。附上redisUtils代码。
28, 安全兜底:涉及钱时,必须考虑防刷、限量和防重
sinat_36454672的博客
07-18 249
1, 开放平台资源的使用需要考虑防刷 短信验证码这种开放接口,程序逻辑内需要有防刷逻辑。 第一种方式,只有固定的请求头才能发送验证码。 也就是说,我们通过请求头中网页或App客户端传给服务端的一些额外参数,来判断请求是不是App发起的。其实,这种方式“君子不小 人”。比如,判断是否存在浏览器或手机型号、设备分辨率请求头。对于那些使用爬虫来抓取短信接口地址的程序来说,往往只能抓取到URL,而难 以分析出请求发送短信还需要的额外请求头,可以看作第一道基本御。 第二种方式,只有先到过注册页面才能发送验证码。
如何保证接口安全,做到篡改防重放?
Javatutouhouduan的博客
04-06 4150
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
springboot aop接口鉴权
09-27
Spring Boot中,可以使用AOP来实现接口鉴权。首先,需要定义一个切面类,以便在访问接口之前进行鉴权操作。可以使用@Aspect注解标记该类为一个切面。 接下来,可以使用@Before注解标记一个方法,该方法将在调用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值