SpringBoot+Redis使用注解方式拦截恶意访问

已于 2022-08-26 15:36:13 修改
阅读量528 收藏
点赞数
文章标签: spring boot java spring
于 2022-08-26 15:34:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47324958/article/details/126543765
版权

前言

针对有人恶意频繁访问接口,对服务器造成巨大压力

使用自定义注解方式进行拦截

SpringBoot + Redis方式进行处理拦截请求

依赖引入

<!-- redis 缓存 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

<!-- pool 对象池 -->
 <!-- spring2.X集成redis所需common-pool2-->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

YML文件

# 开发环境配置
server:
  port: 8080
spring:
  # redis 配置
  redis:
    # 地址
    host: 127.0.0.1
    # 端口,默认为6379
    port: 6379
    # 数据库索引
    database: 0
    # 密码默认为空
    password: 
    # 连接超时时间
    timeout: 10s
    lettuce:
      pool:
        # 连接池中的最小空闲连接
        min-idle: 0
        # 连接池中的最大空闲连接
        max-idle: 8
        # 连接池的最大数据库连接数
        max-active: 8
        # #连接池最大阻塞等待时间(使用负值表示没有限制)
        max-wait: -1ms

Redis自定义序列化

防止存Redis的时候key或value乱码

@EnableCaching   //开启缓存
@Configuration  //配置类
public class RedisConfig extends CachingConfigurerSupport {

    @Bean
    @SuppressWarnings("all")
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) {
        RedisTemplate<String, Object> template = new RedisTemplate<String, Object>();
        template.setConnectionFactory(factory);
        Jackson2JsonRedisSerializer jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer(Object.class);
        ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);
        StringRedisSerializer stringRedisSerializer = new StringRedisSerializer();

        // key采用String的序列化方式
        template.setKeySerializer(stringRedisSerializer);
        // hash的key也采用String的序列化方式
        template.setHashKeySerializer(stringRedisSerializer);
        // value序列化方式采用jackson
        template.setValueSerializer(jackson2JsonRedisSerializer);
        // hash的value序列化方式采用jackson
        template.setHashValueSerializer(jackson2JsonRedisSerializer);
        template.afterPropertiesSet();

        return template;
    }
}

创建自定义注解

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {

    /**
     * 时间限制
     *
     * @return
     */
    int seconds();

    /**
     * 请求次数
     *
     * @return
     */
    int maxCount();
}

拦截恶意访问--逻辑处理

package com.zz.framework.aop.aspect;

import com.alibaba.fastjson.JSON;
import com.zz.framework.aop.annotation.AccessLimit;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.concurrent.TimeUnit;

@Component
public class AccessLimItInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 判断请求是否属于方法的请求
        if (handler instanceof HandlerMethod) {
            HandlerMethod hm = (HandlerMethod) handler;
            // 获取方法中的注解,看是否有该注解
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if (null == accessLimit) {
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            String ip = request.getRemoteAddr();
            String key = request.getServletPath() + ":" + ip;
            // 从redis中获取用户访问的次数
            Integer count = (Integer) redisTemplate.opsForValue().get(key);
            if (null == count || -1 == count) {
                // 第一次访问
                redisTemplate.opsForValue().set(key, 1, seconds, TimeUnit.SECONDS);
                return true;
            }
            if (count < maxCount) {
                // 加1
                count = count + 1;
                redisTemplate.opsForValue().set(key, count, 0);
                return true;
            }
            // 超出访问次数
            if (count >= maxCount) {
                // response 返回 json 请求过于频繁请稍后再试
                response.setCharacterEncoding("UTF-8");
                response.setContentType("application/json; charset=utf-8");
                HashMap<String, Object> map = new HashMap<>();
                map.put("code",9999);
                map.put("msg","操作过于频繁!!!");
                response.getWriter().write(JSON.toJSONString(map));
                return false;
            }
        }
        return true;
    }
}

拦截器注入容器管理

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Autowired
    private AccessLimItInterceptor accessLimItInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(accessLimItInterceptor);
        super.addInterceptors(registry);
    }

}

测试接口

    @RequestMapping("/test")
    @AccessLimit(seconds = 30,maxCount = 5) // 30秒内,允许请求5次
    public String test() {
        return "Hello Word";
    }

一个肥鲶鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Boot(五十五):基于redis防止接口恶意刷新和暴力请求
u013938578的博客
01-17 962
代码中redis使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来达到自己的目的。下面只讲解大致步骤,不详细讲解,需要完整代码的可以自行下载。
Springboot使用 Redisson+AOP+自定义注解 实现访问限流与黑名单拦截
热门推荐
qq_35716689的博客
02-21 2万+
通过Redission+自定义注解+AOP+反射实现了对不同标识符的限流和黑名单拦截。作者:牵着猫散步的鼠鼠
SpringBoot集成“Redis会话拦截器”
Qynwang的博客
04-17 168
然后刷新用户信息试一下,(调用接口:/userInfo/my?userId=123)客户端会提示:请登录。2. 将拦截器类注册到Spring容器中。1. 首先创建一个拦截器类。
SpringBoot2.x防止SQL注入、XSS攻击、CROS恶意访问
fuu123f的博客
05-20 2753
SQL注入: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 例如:http://localhost:8180/webapp2/testSql1?userName=1&passWord=1 or 1=1 解决方案: 1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串 2)后台过滤检测:使用正则表达式过滤传入的参数**;**.字符串过滤 3)前端检测sql常见关键字,如or and drop之类的 XS
SpringBoot】防止API接口被刷(频繁访问),以及代码执行sql脚本
passerbyYSQ
08-29 3339
前言 最近在b站看vue的实战视频,其中需要搭建服务端的api接口,以给vue请求使用。学习资料里面提供了api的项目代码。在本地运行,每次都要启动,有点麻烦。使用老师搭建的api,由于是公用的,数据库数据经常被其他学习的同学删除或修改。 为了一劳永逸,也为了各位小伙伴一起愉快学习。我就用SpringBoot写了一个小程序,放到服务器运行。每天凌晨2点定时执行sql脚本,将数据库数据重新导入。同时为了紧急情况,提供了一个公开访问的api接口,随时可以通过访问该api,将数据库的数据重置。这样,如果一起
springboot拦截器中使用redisTemplate的问题
fairy767190的博客
06-16 1439
springboot中直接使用redisTemplate会失败 因为拦截器是在redisTemplate之前加载的 所以需要先创建一个redisTemplate 在继承了WebMvcConfigurerAdapter的类下面做以下配置 @Bean public HandlerInterceptor getAccessLimitIntercept() { return new HandlerInterceptor(); } //HandlerInterceptor 为
Springboot使用redis进行api防刷限流过程详解
08-25
- **分布式限流**:如果应用部署在多台服务器上,需要使用分布式限流策略,如使用 Redis 的分布式锁。 - **动态调整限流策略**:根据系统的负载情况,动态调整限流阈值。 - **异常处理**:对于限流产生的异常,应有...
Springboot过滤器禁止ip频繁访问功能实现
08-19
"Springboot过滤器禁止ip频繁访问功能实现" ...Springboot过滤器禁止ip频繁访问功能实现可以防止恶意ip的访问,保护服务器的安全。这个功能可以在我们的Springboot项目中进行实现,保护我们的服务器免受恶意攻击。
SpringBoot中自定义注解实现控制器访问次数限制实例
08-30
然后,我们需要创建一个切面(Aspect)类`RequestLimitContract`,它使用Spring AOP(面向切面编程)来拦截标记有`RequestLimit`注解的方法,并执行访问次数检查: ```java package example.controller.limit; ...
SpringBoot 接口访问频率限制(二)
04-02
SpringBoot应用中,接口访问频率限制是一种常见的安全策略,用于防止恶意用户或者自动化脚本对服务进行频繁的、超出正常范围的访问,这可能导致服务器过载甚至崩溃。本篇我们将深入探讨如何在SpringBoot中实现接口...
练习springboot-redisdemo添加了拦截
11-10
redis的整理资料,还有springboot-redis的整合项目。适合新手看
Spring boot拦截器实现IP黑名单的完整步骤
08-19
在上面的代码中,我们使用@Aspect注解来标记这个类是一个拦截器,而@Order(0)注解则是用来指定这个拦截器的执行顺序。 拦截器规则 在拦截器中,我们可以定义一个拦截器规则来指定哪些请求需要被拦截。我们可以使用...
Springboot使用拦截拦截请求查询Redis
我能在河边钓一整天的鱼
03-15 2023
需求 对于所有的Controller,我都想实现能走redis的查询就不走数据库,大致思路是请求在走到接口之前,咱们搞一个拦截器,符合get请求拦截,非get请求的放行。 新建拦截器类 package cn.itcast.haoke.dubbo.api.interceptor; import com.fasterxml.jackson.data...
SpringBoot集成redis实现的用户登录和相关拦截器的实现
m0_46103359的博客
04-06 622
写controller、service、mapper,mapper.xml层代码根据username和password查询。原因是拦截器的加载在springcontext之前,所以自动注入redis工具类是null。但是在WebMvcConfigurer可以注入成功,然后通过构造器进行注入。实现拦截器的时候写的redis工具类一直报null,出现空指针异常如下。增加拦截器构造方法,将redis工具类当作属性注入。下一次写,异常处理,返回给前端的异常进行封装。拦截器注册器中注入,通过构造方法。
springboot如何防止恶意刷新,暴力请求接口
delete_bug的博客
06-05 1832
防止恶意请求接口
【342期】SpringBoot + Redis 布隆过滤器防恶意流量击穿缓存的正确姿势!
Java精选
05-31 859
什么是恶意流量穿透假设我们的Redis里存有一组用户的注册email,以email作为Key存在,同时它对应着DB里的User表的部分字段。一般来说,一个合理的请求过来我们会先在Redis里判断这个用户是否是会员,因为从缓存里读数据返回快。如果这个会员在缓存中不存在那么我们会去DB中查询一下。现在试想,有千万个不同IP的请求(不要以为没有,我们就在2018年和2019年碰...
Spring Boot 防护 XSS + SQL 注入攻击
一米九的博客
03-28 1918
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?存储型XSS: 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
使用SpringBoot面向切面技术进行IP地址的拦截以及访问次数时间限制
千与编程
03-04 3041
对于一些实际的场景,千寻最近也在制作自己的网站,但是不得不说自己的需要一定的网络安全基础知识 需要给自己上线的网站,增加"防御系统", 使用的是springboot生成的拦截器,进行外部主机访问IP的次数限制以及访问时间间隔限制 主要用于进行恶意刷IP的阻拦以及记录 除了springboot需要的依赖之外,我们还需要加上Aspect依赖,面向切面的AOP实现机制 <!-- https://mvnrepository.com/artifact/org.springframework/spring-a
SpringBoot使用注解 拦截redis实现接口防刷
CharlesYooSky的博客
04-18 271
接口防刷记录
springboot+redis简单使用
最新发布
05-07
Spring Data Redis提供了一系列的注解和模板类,可以方便地进行数据的读取、写入和删除等操作。 以下是一个简单的示例,演示了如何在Spring Boot使用Redis: 1. 添加依赖: 在pom.xml文件中添加以下依赖: ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个肥鲶鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值