并发下接口防刷

最新推荐文章于 2024-10-01 18:51:18 发布
最新推荐文章于 2024-10-01 18:51:18 发布
阅读量169 收藏
点赞数 3
分类专栏: 接口安全篇 文章标签: java 前端 开发语言 接口安全 接口防刷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44688301/article/details/141421923
版权

实现原理:

根据请求入参(兼容没有入参的或者不能转换成json的请求)+ip地址+接口路径拼接起来,生成md5加密字符串,利用redis setNx判断在单位时间内是否请求过

话不多说上代码

注解类

package com.annto.dc.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 防重复提交注解
 * 实现原理:根据请求入参(兼容没有入参的或者不能转换成json的请求)+ip地址+接口路径拼接起来,生成md5加密字符串,利用redis setNx判断在单位时间内是否请求过
 * 注意点:
 * 1.当前仅支持无参、第一个请求参数的防重
 * 2.不能解析成json的入参需要加上concatParam=false,防止转换成json时报错
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Resubmit {

    //超时时间,单位s,不指定默认1s
    long expireTime() default 1L;

    //需要剔除的字段,默认空(英文单引号间隔,例如:createTime,updateTime)
    String excludeKeys() default "";

    //是否要拼接入参,默认true(有些请求不能解析成json,例如:MultipartFile)
    boolean concatParam() default true;
}

切面

package com.annto.dc.imports.aop;

import cn.hutool.core.util.ArrayUtil;
import com.alibaba.fastjson.JSON;
import com.annto.dc.annotation.Resubmit;
import com.annto.dc.common.helper.Md5Helper;
import com.annto.dc.constants.CommonConstants;
import com.annto.dc.vo.BusinessException;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.concurrent.TimeUnit;

@Aspect
@Component
@Slf4j
public class ResubmitAspect {

    @Resource
    private StringRedisTemplate stringRedisTemplate;

    @Around("@annotation(com.annto.dc.annotation.Resubmit)")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        Method method = ((MethodSignature) joinPoint.getSignature()).getMethod();//获取方法
        Resubmit annotation = method.getAnnotation(Resubmit.class);//获取注解信息

        Object[] args = joinPoint.getArgs();//获取入参
        String paramJson;
        if (ArrayUtil.isEmpty(args) || !annotation.concatParam()) {
            paramJson = CommonConstants.EMPTY_STRING;
        } else {
            paramJson = JSON.toJSONString(args[0]);//获取第一个入参
        }

        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();//获取httpRequest

        boolean firstSubmit = isFirstSubmit(paramJson, request.getRemoteAddr(), request.getRequestURI(), annotation.excludeKeys(), annotation.expireTime());
        if (!firstSubmit) throw BusinessException.fail(String.format("接口【%s】在【%s s】内不允许重复请求,请稍后再试!", request.getRequestURI(), annotation.expireTime()));

        return joinPoint.proceed();//放行
    }

    /**
     * 是否第一次提交
     *
     * @param json 请求参数json字符串
     * @param ip 请求方ip
     * @param url 请求地址
     * @param excludeKeys 需要剔除的字段
     * @param expireTime 过期时间
     * @return
     */
    private boolean isFirstSubmit(String json, String ip, String url, String excludeKeys, long expireTime) {
        //根据入参+ip+url生成MD5加密字符串
        String md5Str = Md5Helper.buildParamMD5(json, ip, url, excludeKeys);

        long expireAt = System.currentTimeMillis() + expireTime;
        String value = "expireAt_" + expireAt;

        boolean firstSubmit = false;
        try {
            firstSubmit = stringRedisTemplate.opsForValue().setIfAbsent(md5Str, value, expireTime, TimeUnit.SECONDS);
        } catch (Exception e) {
            log.error("redis setIfAbsent异常:", e);
        }

        return firstSubmit;
    }
}

MD5加密工具类

package com.annto.dc.common.helper;

import com.alibaba.fastjson.JSON;
import com.annto.dc.constants.CommonConstants;
import deps.cn.hutool.core.collection.CollectionUtil;
import deps.cn.hutool.core.util.ObjUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;

import javax.xml.bind.DatatypeConverter;
import java.security.MessageDigest;
import java.util.Arrays;
import java.util.List;
import java.util.TreeMap;

@Slf4j
@Component
public class Md5Helper {

    /**
     * @param excludeKeys
     * @param json
     * @param ip
     * @param url
     * @return
     */
    public static String buildParamMD5(String json, String ip, String url, String excludeKeys) {
        //将入参转成TreeMap,保证有序性
        TreeMap paramTreeMap = JSON.parseObject(json, TreeMap.class);

        //剔除需要排除的参数
        excludeParams(paramTreeMap, excludeKeys);

        //对字符串进行md5加密
        String finalJson = String.format("%s_%s_%s", ip, url, JSON.toJSONString(paramTreeMap));
        String md5Str = jdkMD5(finalJson);
        log.debug("加密后的md5字符串:{},需要剔除的字段:{}", md5Str, StringUtils.join(excludeKeys, CommonConstants.COMMA));
        return md5Str;
    }

    /**
     * 剔除需要排除的参数
     *
     * @param paramTreeMap
     * @param excludeKeys
     */
    public static void excludeParams(TreeMap paramTreeMap, String excludeKeys) {
        if (ObjUtil.isNull(paramTreeMap)) return;
        if (StringUtils.isBlank(excludeKeys)) return;

        List<String> excludeKeyList = Arrays.asList(excludeKeys.split(CommonConstants.COMMA));
        if (CollectionUtil.isEmpty(excludeKeyList)) return;

        for (String excludeKey : excludeKeyList) {
            paramTreeMap.remove(excludeKey);
        }
    }

    /**
     * 对字符串进行md5加密
     *
     * @param str
     * @return
     */
    public static String jdkMD5(String str) {
        String res = CommonConstants.EMPTY_STRING;
        try {
            MessageDigest messageDigest = MessageDigest.getInstance("MD5");
            byte[] mdBytes = messageDigest.digest(str.getBytes());
            res = DatatypeConverter.printHexBinary(mdBytes);
        } catch (Exception e) {
            log.error("jdkMD5加密异常:", e);
        }
        return res;
    }
}

半桶水的码农
关注
专栏目录
springboot 接口防刷
weixin_43931625的博客
08-26 580
springboot 接口防刷
Java 接口防刷处理方案
clixinchao的博客
04-28 1251
在一个高访问量的 Web 应用程序中,用户可能通过刷接口的方式,大量消耗系统资源,从而导致系统崩溃。本文介绍了基于 Java接口防刷处理方案,包括限制请求频率和限制并发请求数两个方面。1. 限制请求频率:对于同一个 IP 地址,限制其请求某个接口的频率。具体来说,可以采用 Token Bucket 算法,每次请求从 Token Bucket 中取出一个 Token,如果 Token Bucket 为空,则拒绝请求。具体来说,可以采用信号量机制,每次请求前先获取一个信号量,如果信号量已满,则拒绝请求。
【SpringBoot】Spring Boot 如何实现接口防刷
低调做人,低调编码,神码都是浮云
06-19 1968
SpringBoot接口防刷
Redis实现计数器---接口防刷
热门推荐
通往精英的成长之路
12-03 3万+
强烈推荐一个大神的人工智能的教程:http://www.captainbed.net/zhanghan 【前言】 刚刚过去的双十一,大家有没有剁手,紧接着双十二马上又来临;看到全民大抢购的时候,做为一名技术人,不免的会有些职业病,总会好奇抢购秒杀等等背后的技术。 正好最近自己在做项目的时候需要防刷,自己在做完后做了些小测试,在这里与诸君共享! 【探索】...
redis+aop实现接口防刷(幂等)
zy11517的博客
03-27 1321
总之,幂等和接口防刷都是业务中常见的场景,redis,aop也是非常常用的技术栈,希望大家通过这个文章加深对业务、redis、springAOP的使用,后面考虑更ddd重构老项目,mq等,不过时间不一定,敬请期待。
SpringBoot一个注解,实现接口防刷
weixin_44421461的博客
10-14 369
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
并发之API接口,分布式,防刷限流,如何做?
Java笔记虾
04-01 1634
开发分布式高并发系统时有三把利器用来保护系统:缓存、降级、限流缓存缓存的目的是提升系统访问速度和增大系统处理容量降级降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或...
SpringBoot + Redis 实现防刷限流
旷野历程
04-17 279
添加自定义AccessLimit注解,使用注解方式实现接口的限流操作。使用 AccessLimit。
Java高性能高并发实战之图形验证码及接口防刷(七)
weixin_44015043的博客
05-07 2666
文章目录前言正文 前言 此篇文章是系列的第七篇,主要讲一些安全性相关联的问题,对应的源码部分参见Github源码第七部分。下面是一些相关联的文章。 章节名称 博客地址 安装部署Redis 集成Redis(已完结) 页面登陆功能设计 登录功能设计(更新优化中) 秒杀页面具体设计 秒杀详情页(已完结) JMeter初级压测学习 Jmeter压测入门学习(已完结) 页面优...
接口防刷】学习笔记
jams3368的博客
10-09 301
接口防刷 更新中
springboot+redis实现网站限流和接口防刷功能.zip
09-29
在现代Web应用开发中,网站限流和接口防刷功能是至关重要的安全措施。通过结合Spring Boot和Redis,我们可以构建一套高效且灵活的限流系统,保护我们的服务免受恶意攻击,确保系统的稳定运行。本文将详细介绍如何...
并发之API接口,分布式,防刷限流
KHOST的博客
04-03 2179
开发分布式高并发系统时有三把利器用来保护系统:缓存、降级、限流 缓存 缓存的目的是提升系统访问速度和增大系统处理容量 降级 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解决后再打开 限流 限流的目的是通过对并发访问/请求进行限速,或者对一个时间窗口内的请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待、降级等处理 问题描述 1、某天A君...
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 564
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
JavaScript ArrayBuffer的读写与类型转换
最新发布
白瑕 的博客
10-01 208
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 435
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java内存布局
阿呆的专栏
10-01 512
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 292
在C#中,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1085
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
【RocketMQ】RocketMQ应用难点
记录一名在读研究生的学习笔记、感悟、开发产物
09-30 617
本文探讨了RocketMQ中消息重复消费的问题及其解决方案,尤其是在CLUSTERING模式下的扩容影响。文章分析了重复消费的原因,如广播模式、负载均衡模式下的多consumerGroup消费、消费者组内的动态变化及网络延迟等,并提出了利用唯一标识进行去重的方法。此外,还讨论了如何选择合适的存储机制以高效处理大量消息标识,如HashMap、MySQL、Redis以及推荐的布隆过滤器等方案。对于防止消息堆积与确保消息不丢失,也给出了相应的策略和技术措施。
并发场景下,Spring Boot + Redis 实现接口限流和防刷
06-09
并发场景下,为了保证接口的可靠性和稳定性,我们可以使用 Redis 来实现接口限流和防刷。 具体实现方法如下: 1. 首先,在 Spring Boot 项目中引入 Redis 相关的依赖,如 jedis、lettuce 等。 2. 在 Redis 中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值