SpringBoot如何对接口防刷限流处理

于 2024-09-04 10:00:00 发布
阅读量779 收藏 14
点赞数 8
分类专栏: JAVA框架 文章标签: spring boot 后端 java 限流
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53391173/article/details/141825004
版权

一、API防刷限流:

API接口限流,旨在预防用户过度频繁地访问特定接口,以及抵御潜在的恶意攻击行为,这些行为可能导致后端服务器承受过高的负载,进而引发内存资源紧张。为了有效缓解服务器面临的压力,确保服务的稳定性和可用性,对接口实施防刷限流措施显得尤为重要。

实现思路:

在Spring Boot应用中结合Redis实现后端拦截前端请求的功能,具体流程如下:后端系统拦截来自前端的每一个请求,使用请求的IP地址加上请求的具体信息(如接口路径、请求方法等)作为key,在Redis中查询对应的value值。若查询结果为空,表示这是该IP对该请求的首次访问,系统将继续执行后续操作,并在Redis中为该key设置一个初始的访问次数(如1)及过期时间。若查询结果不为空,则解析value值以获取当前的访问次数,并与预设的限定值进行比较。若访问次数超过限定值,则立即向前端返回提示信息,并终止执行后续操作;若未超过限定值,则更新Redis中的访问次数,并继续执行后续操作。

二、代码示例

第一步 创建AccessLimitIntercept类,编写实现功能的核心代码。

package com.example.mybatisdemo.config;

import io.swagger.models.auth.In;
import org.apache.commons.lang3.ObjectUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.InetAddress;
import java.net.UnknownHostException;
import java.nio.charset.StandardCharsets;
import java.util.concurrent.TimeUnit;
import java.util.logging.Handler;

@Component

public class AccessLimitIntercept implements HandlerInterceptor {

  @Autowired
  private RedisTemplate redisTemplate;

  //限定访问次数
  private int count=5;
  //访问时间
  private int time=10;
 private final static String localIp = "127.0.0.1";
 /**
  * 获取ip地址
  * @param request
  * @return
  */
 public static String getIp(HttpServletRequest request){
     String ipAddress;
     try {
         ipAddress = request.getHeader("x-forwarded-for");
         if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
             ipAddress = request.getHeader("Proxy-Client-IP");
         }
         if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
             ipAddress = request.getHeader("WL-Proxy-Client-IP");
         }
         if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
             ipAddress = request.getRemoteAddr();
             if (localIp.equals(ipAddress)) {
                 // 根据网卡取本机配置的IP
                 InetAddress inet = null;
                 try {
                     inet = InetAddress.getLocalHost();
                     ipAddress = inet.getHostAddress();
                 } catch (UnknownHostException e) {
                     e.printStackTrace();
                 }
             }
         }
         // 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
         if (ipAddress != null && ipAddress.length() > 15) {
             // = 15
             if (ipAddress.indexOf(",") > 0) {
                 ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));
             }
         }
     } catch (Exception e) {
         ipAddress = "";
     }
     return "0:0:0:0:0:0:0:1".equals(ipAddress) ? localIp : ipAddress;
 }

 /**
  * 进入controller前的预处理
  * @param request
  * @param response
  * @param handler
  * @return
  * @throws Exception
  */
 @Override
 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
     
     String key=getIp(request)+request.getRequestURI();
     Object value = redisTemplate.opsForValue().get(key);
     // 获取redis的value
     Integer valueTime=null;
     //表示第一次访问
     if(value==null)
     {
       //存放访问的次数,time表示时间, TimeUnit.SECONDS表示时间单位为秒
       redisTemplate.opsForValue().set(key, 1, time, TimeUnit.SECONDS);
     }
     if(value!=null)
     {
         valueTime= (Integer) value;

         if(valueTime<count)
         {
             //访问次数累加
             redisTemplate.opsForValue().set(key, valueTime+1, time, TimeUnit.SECONDS);

         }else {
             output(response, "{\"code\":\"8002\",\"message\":\"请求过于频繁,请稍后再试\"}");
             return false;
         }

     }
     return true;
 }
 public void output(HttpServletResponse response, String msg) throws IOException {
     response.setContentType("application/json;charset=UTF-8");
     ServletOutputStream outputStream = null;
     try {
         outputStream = response.getOutputStream();
         outputStream.write(msg.getBytes(StandardCharsets.UTF_8));
     } catch (IOException e) {
         e.printStackTrace();
     } finally {
         if (ObjectUtils.isNotEmpty(outputStream)) {
             outputStream.flush();
             outputStream.close();
         }
     }
 }

 @Override
 public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
     HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
 }

 @Override
 public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
     HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
 }
}

配置配置文件,将写好的拦截器配置到容器中

package com.example.mybatisdemo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
@EnableWebMvc
public class WebMvcConfig implements WebMvcConfigurer {

    /**
     * 这里需要先将限流拦截器入住,不然无法获取到拦截器中的redistemplate
     * @return
     */
    @Bean
    public AccessLimitIntercept getAccessLimitIntercept() {
        return new AccessLimitIntercept();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getAccessLimitIntercept()).addPathPatterns("/**");
    }
}

创建 controller 测试类

@RestController
public class AcessController {


    @GetMapping("/test")

    public String Testmethod()
    {
        String st="hello,you enter system";
        System.out.println("成功访问到方法");
        return st;
    }

}

在浏览器访问 http://localhost:8080/test

连续点击测试

 

missterzy
关注
专栏目录
SpringBoot+Redis+自定义注解实现接口防刷(限制不同接口单位时间内最大请求次数)
BADAO_LIUMANG_QIZHI的博客
05-10 1107
SpringBoot搭建的项目需要对开放的接口进行防刷限制,不同接口指定多少秒内可以请求指定次数。比如下方限制接口一秒内最多请求一次。
【微服务】springboot 通用限流方案设计与实现
congge
06-24 8426
springboot限流方案总结
SpringBoot一个注解,实现接口防刷
MarkerHub的博客
11-02 215
本文介绍一种极简洁、灵活通用接口防刷实现方式、通过在需要防刷的方法加上@Prevent 注解即可实现短信防刷;使用方式大致如下:/** *测试防刷 * *@paramrequest *@return */ @ResponseBody @GetMapping(value="/testPrevent") @Prevent//加上该注解即可实现短信防刷(默认一分钟内不允许重复调用...
SpringBoot接口防刷
meser88的博客
09-03 556
@Component @Slf4j public class FangshuaInterceptor extends HandlerInterceptorAdapter { @Autowired private RedisCache redisCache; private static final String SMY_SGC_FANGSHUA = "SGC:FANGSHUA:"; private static final String SMY_SGC_FANGSHUA..
SpringBootSpring Boot 实现接口防刷
sco5282的博客
11-04 616
AOP + 自定义注解 + Redis 实现接口防刷
Springboot项目的接口防刷
JavaPub
02-24 515
今天跟大家分享Springboot项目的接口防刷的实例的知识。 1. Springboot项目的接口防刷的实例 说明:使用了注解的方式进行对接口防刷的功能,非常高大上,本文章仅供参考。 技术要点:springboot的基本知识,redis基本操作,首先是写一个注解类: import java.lang.annotation.Retention; import java.lang.annotation.Target; import static java.lang.annotation.ElementT
SpringBoot 接口防刷(超简洁,4步实现)
qianqw
06-08 522
【代码】SpringBoot 接口防刷(超简洁,4步实现)
Springboot使用redis进行api防刷限流过程详解
08-25
Spring Boot 结合 Redis 实现 API 防刷限流的过程主要涉及到两个核心概念:限流算法和缓存机制。在本文中,我们将深入探讨如何利用 Redis 的存储特性以及 Spring Boot 的强大框架支持来构建一个高效的 API 限流系统...
springboot+redis实现网站限流接口防刷功能.zip
09-29
在现代Web应用开发中,网站限流接口防刷功能是至关重要的安全措施。通过结合Spring Boot和Redis,我们可以构建一套高效且灵活的限流系统,保护我们的服务免受恶意攻击,确保系统的稳定运行。本文将详细介绍如何...
Springboot接口限流
chrishe751的博客
07-23 2009
最近监控到公司服务器内存持续高占比,造成应用卡顿,经过分析日志发现是恶意的频繁的请求造成的。 互联网公司工作,很难避免这种情况。参见:https://blog.csdn.net/ityouknow/article/details/104666810?utm_medium=distribute.pc_relevant_right.none-task-blog-BlogCommendFromMachineLearnPai2-14.nonecase&depth_1-utm_source=distribu.
SpringBoot秒杀系统实战24-安全优化 接口限流防刷
程序鹏
05-09 464
接口限流防刷: 限制同一个用户一秒钟或者一分钟之内只能访问固定次数,在服务端对系统做一层保护。 思路:利用缓存实现,用户每次点击之后访问接口的时候,在缓存中生成一个计数器,第一次将这个计数器置1后存入缓存,并给其设定有效期,比如一分钟,一分钟之内再访问,那么数值加一。一分钟之内访问次数超过限定数值,直接返回失败。下一个一分钟,数据重新从0开...
SpringBootSpring Boot 如何实现接口防刷
最新发布
低调做人,低调编码,神码都是浮云
06-19 1997
SpringBoot接口防刷
API 接口防刷
小码哥222的博客
02-04 994
refer:https://www.cnblogs.com/rstyro/articles/10715652.html API 接口防刷 顾名思义,想让某个接口某个人在某段时间内只能请求N次。 在项目中比较常见的问题也有,那就是连点按钮导致请求多次,以前在web端有表单重复提交,可以通过token 来解决。 除了上面的方法外,前后端配合的方法。现在全部由后端来控制。 文章目录API 接口防刷一、API 接口防刷1 原理2 代码实现: 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断
SpringBoot 接口防刷
掐指一算乀缺钱
03-06 568
springboot最简单的接口防刷
springboot接口防刷
04-01
为了防止恶意攻击和频繁请求,可以采取以下措施防止接口防刷: 1. 接口限流:设置接口每秒钟、每分钟或每小时的访问次数,超过限制的请求直接返回错误码或被阻止。 2. 接口认证:要求用户必须登录并携带有效的访问令牌(如JWT)才能访问接口,以确保用户身份的合法性。 3. 记录IP地址:记录每个请求的IP地址,如果同一IP地址的请求频率过高,则可以进行限制。 4. 验证码:对于某些可能涉及用户隐私或需要高级权限的接口,可以要求用户输入验证码才能访问。 5. 人机验证:对于高频次的访问请求,可以通过人机验证来确保请求来自于真实用户而非恶意攻击。 6. 接口监控:监控接口的访问情况,发现异常请求及时进行处理。 综合采取以上措施可以有效地防止接口防刷
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

missterzy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值