秒杀系统(六):安全优化

最新推荐文章于 2022-05-02 15:10:49 发布
最新推荐文章于 2022-05-02 15:10:49 发布
阅读量233 收藏
点赞数
分类专栏: 秒杀系统 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiliaoding1808/article/details/116081875
版权

1.秒杀接口地址隐藏
2.数学公式验证
3.接口限流防刷

秒杀接口地址隐藏

思路:秒杀开始之前,先去请求接口获取秒杀地址
1.接口改造,带上PathVariable参数
2.添加生成地址的接口
3.秒杀收到请求,先验证PathVariable

接口改造

现在将秒杀按钮的功能变成先获取秒杀地址

        <td>
        <!--  
        	<form id="miaoshaForm" method="post" action="/miaosha/do_miaosha">
        		<button class="btn btn-primary btn-block" type="submit" id="buyButton">立即秒杀</button>
        		<input type="hidden" name="goodsId"  id="goodsId" />
        	</form>-->
        	<div class="row">
        		<div class="form-inline">
		        	<img id="verifyCodeImg" width="80" height="32"  style="display:none" onclick="refreshVerifyCode()"/>
		        	<input id="verifyCode"  class="form-control" style="display:none"/>
		        	<button class="btn btn-primary" type="button" id="buyButton"onclick="getMiaoshaPath()">立即秒杀</button>
        		</div>
        	</div>
        	<input type="hidden" name="goodsId"  id="goodsId" />
        </td>
        function getMiaoshaPath(){
	var goodsId = $("#goodsId").val();
	g_showLoading();
	$.ajax({
		url:"/miaosha/path",
		type:"GET",
		data:{
			goodsId:goodsId,
			verifyCode:$("#verifyCode").val()
		},
		success:function(data){
			if(data.code == 0){
				var path = data.data;
				doMiaosha(path);
			}else{
				layer.msg(data.msg);
			}
		},
		error:function(){
			layer.msg("客户端请求有误");
		}
	});
}

秒杀地址生成接口

 @AccessLimit(seconds=5, maxCount=5, needLogin=true)
    @RequestMapping(value="/path", method=RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(HttpServletRequest request, MiaoshaUser user,
    		@RequestParam("goodsId")long goodsId,
    		@RequestParam(value="verifyCode", defaultValue="0")int verifyCode
    		) {
    	if(user == null) {
    		return Result.error(CodeMsg.SESSION_ERROR);
    	}
    	boolean check = miaoshaService.checkVerifyCode(user, goodsId, verifyCode);
    	if(!check) {
    		return Result.error(CodeMsg.REQUEST_ILLEGAL);
    	}
    	String path  =miaoshaService.createMiaoshaPath(user, goodsId);
    	return Result.success(path);
    }
    	public String createMiaoshaPath(MiaoshaUser user, long goodsId) {
		if(user == null || goodsId <=0) {
			return null;
		}
		String str = MD5Util.md5(UUIDUtil.uuid()+"123456");
    	redisService.set(MiaoshaKey.getMiaoshaPath, ""+user.getId() + "_"+ goodsId, str);
		return str;
	}

秒杀请求

function doMiaosha(path){
	$.ajax({
		url:"/miaosha/"+path+"/do_miaosha",
		type:"POST",
		data:{
			goodsId:$("#goodsId").val()
		},
		success:function(data){
			if(data.code == 0){
				//window.location.href="/order_detail.htm?orderId="+data.data.id;
				getMiaoshaResult($("#goodsId").val());
			}else{
				layer.msg(data.msg);
			}
		},
		error:function(){
			layer.msg("客户端请求有误");
		}
	});
	
}

秒杀处理接口

 @RequestMapping(value="/{path}/do_miaosha", method=RequestMethod.POST)
    @ResponseBody
    public Result<Integer> miaosha(Model model,MiaoshaUser user,
    		@RequestParam("goodsId")long goodsId,
    		@PathVariable("path") String path) {
    	model.addAttribute("user", user);
    	if(user == null) {
    		return Result.error(CodeMsg.SESSION_ERROR);
    	}
    	//验证path
    	boolean check = miaoshaService.checkPath(user, goodsId, path);
    	if(!check){
    		return Result.error(CodeMsg.REQUEST_ILLEGAL);
    	}
    	//内存标记,减少redis访问
    	boolean over = localOverMap.get(goodsId);
    	if(over) {
    		return Result.error(CodeMsg.MIAO_SHA_OVER);
    	}
    	//预减库存
    	long stock = redisService.decr(GoodsKey.getMiaoshaGoodsStock, ""+goodsId);//10
    	if(stock < 0) {
    		 localOverMap.put(goodsId, true);
    		return Result.error(CodeMsg.MIAO_SHA_OVER);
    	}
    	//判断是否已经秒杀到了
    	MiaoshaOrder order = orderService.getMiaoshaOrderByUserIdGoodsId(user.getId(), goodsId);
    	if(order != null) {
    		return Result.error(CodeMsg.REPEATE_MIAOSHA);
    	}
    	//入队
    	MiaoshaMessage mm = new MiaoshaMessage();
    	mm.setUser(user);
    	mm.setGoodsId(goodsId);
    	sender.sendMiaoshaMessage(mm);
    	return Result.success(0);//排队中
    	/*
    	//判断库存
    	GoodsVo goods = goodsService.getGoodsVoByGoodsId(goodsId);//10个商品,req1 req2
    	int stock = goods.getStockCount();
    	if(stock <= 0) {
    		return Result.error(CodeMsg.MIAO_SHA_OVER);
    	}
    	//判断是否已经秒杀到了
    	MiaoshaOrder order = orderService.getMiaoshaOrderByUserIdGoodsId(user.getId(), goodsId);
    	if(order != null) {
    		return Result.error(CodeMsg.REPEATE_MIAOSHA);
    	}
    	//减库存 下订单 写入秒杀订单
    	OrderInfo orderInfo = miaoshaService.miaosha(user, goods);
        return Result.success(orderInfo);
        */
    }

数学公式验证码

思路:点击秒杀之前,先输入验证码,分散用户的请求
1.添加生成验证码的接口
2.在获取秒杀路径的时候,验证验证码

前端代码

        	<div class="row">
        		<div class="form-inline">
		        	<img id="verifyCodeImg" width="80" height="32"  style="display:none" onclick="refreshVerifyCode()"/>
		        	<input id="verifyCode"  class="form-control" style="display:none"/>
		        	<button class="btn btn-primary" type="button" id="buyButton"onclick="getMiaoshaPath()">立即秒杀</button>
        		</div>
        	</div>
      function refreshVerifyCode(){
	$("#verifyCodeImg").attr("src", "/miaosha/verifyCode?goodsId="+$("#goodsId").val()+"&timestamp="+new Date().getTime());
}

后端接口

    @RequestMapping(value="/verifyCode", method=RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaVerifyCod(HttpServletResponse response,MiaoshaUser user,
    		@RequestParam("goodsId")long goodsId) {
    	if(user == null) {
    		return Result.error(CodeMsg.SESSION_ERROR);
    	}
    	try {
    		BufferedImage image  = miaoshaService.createVerifyCode(user, goodsId);
    		OutputStream out = response.getOutputStream();
    		ImageIO.write(image, "JPEG", out);
    		out.flush();
    		out.close();
    		return null;
    	}catch(Exception e) {
    		e.printStackTrace();
    		return Result.error(CodeMsg.MIAOSHA_FAIL);
    	}
    }
    public BufferedImage createVerifyCode(MiaoshaUser user, long goodsId) {
		if(user == null || goodsId <=0) {
			return null;
		}
		int width = 80;
		int height = 32;
		//create the image
		BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
		Graphics g = image.getGraphics();
		// set the background color
		g.setColor(new Color(0xDCDCDC));
		g.fillRect(0, 0, width, height);
		// draw the border
		g.setColor(Color.black);
		g.drawRect(0, 0, width - 1, height - 1);
		// create a random instance to generate the codes
		Random rdm = new Random();
		// make some confusion
		for (int i = 0; i < 50; i++) {
			int x = rdm.nextInt(width);
			int y = rdm.nextInt(height);
			g.drawOval(x, y, 0, 0);
		}
		// generate a random code
		String verifyCode = generateVerifyCode(rdm);
		g.setColor(new Color(0, 100, 0));
		g.setFont(new Font("Candara", Font.BOLD, 24));
		g.drawString(verifyCode, 8, 24);
		g.dispose();
		//把验证码存到redis中
		int rnd = calc(verifyCode);
		redisService.set(MiaoshaKey.getMiaoshaVerifyCode, user.getId()+","+goodsId, rnd);
		//输出图片	
		return image;
	}

	public boolean checkVerifyCode(MiaoshaUser user, long goodsId, int verifyCode) {
		if(user == null || goodsId <=0) {
			return false;
		}
		Integer codeOld = redisService.get(MiaoshaKey.getMiaoshaVerifyCode, user.getId()+","+goodsId, Integer.class);
		if(codeOld == null || codeOld - verifyCode != 0 ) {
			return false;
		}
		redisService.delete(MiaoshaKey.getMiaoshaVerifyCode, user.getId()+","+goodsId);
		return true;
	}
	
	private static int calc(String exp) {
		try {
			ScriptEngineManager manager = new ScriptEngineManager();
			ScriptEngine engine = manager.getEngineByName("JavaScript");
			return (Integer)engine.eval(exp);
		}catch(Exception e) {
			e.printStackTrace();
			return 0;
		}
	}

	private static char[] ops = new char[] {'+', '-', '*'};
	/**
	 * + - * 
	 * */
	private String generateVerifyCode(Random rdm) {
		int num1 = rdm.nextInt(10);
	    int num2 = rdm.nextInt(10);
		int num3 = rdm.nextInt(10);
		char op1 = ops[rdm.nextInt(3)];
		char op2 = ops[rdm.nextInt(3)];
		String exp = ""+ num1 + op1 + num2 + op2 + num3;
		return exp;
	}

接口防刷

思路:对接口做限流
用拦截器减少对业务侵入,在redis中缓存用户的访问次数,超过一定的数量则返回访问太频繁的提示。拦截器的好处:可以根据不同接口制定不同的限流策略

注解定义

package com.imooc.miaosha.access;

import static java.lang.annotation.ElementType.METHOD;
import static java.lang.annotation.RetentionPolicy.RUNTIME;

import java.lang.annotation.Retention;
import java.lang.annotation.Target;

@Retention(RUNTIME)
@Target(METHOD)
public @interface AccessLimit {
	int seconds();
	int maxCount();
	boolean needLogin() default true;
}

拦截器定义

@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		if(handler instanceof HandlerMethod) {
			MiaoshaUser user = getUser(request, response);
			UserContext.setUser(user);
			HandlerMethod hm = (HandlerMethod)handler;
			AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
			if(accessLimit == null) {
				return true;
			}
			int seconds = accessLimit.seconds();
			int maxCount = accessLimit.maxCount();
			boolean needLogin = accessLimit.needLogin();
			String key = request.getRequestURI();
			if(needLogin) {
				if(user == null) {
					render(response, CodeMsg.SESSION_ERROR);
					return false;
				}
				key += "_" + user.getId();
			}else {
				//do nothing
			}
			AccessKey ak = AccessKey.withExpire(seconds);
			Integer count = redisService.get(ak, key, Integer.class);
	    	if(count  == null) {
	    		 redisService.set(ak, key, 1);
	    	}else if(count < maxCount) {
	    		 redisService.incr(ak, key);
	    	}else {
	    		render(response, CodeMsg.ACCESS_LIMIT_REACHED);
	    		return false;
	    	}
		}
		return true;
	}
	
	private void render(HttpServletResponse response, CodeMsg cm)throws Exception {
		response.setContentType("application/json;charset=UTF-8");
		OutputStream out = response.getOutputStream();
		String str  = JSON.toJSONString(Result.error(cm));
		out.write(str.getBytes("UTF-8"));
		out.flush();
		out.close();
	}

	private MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response) {
		String paramToken = request.getParameter(MiaoshaUserService.COOKI_NAME_TOKEN);
		String cookieToken = getCookieValue(request, MiaoshaUserService.COOKI_NAME_TOKEN);
		if(StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
			return null;
		}
		String token = StringUtils.isEmpty(paramToken)?cookieToken:paramToken;
		return userService.getByToken(response, token);
	}
	
	private String getCookieValue(HttpServletRequest request, String cookiName) {
		Cookie[]  cookies = request.getCookies();
		if(cookies == null || cookies.length <= 0){
			return null;
		}
		for(Cookie cookie : cookies) {
			if(cookie.getName().equals(cookiName)) {
				return cookie.getValue();
			}
		}
		return null;
	}
	
}

拦截器注册

@Configuration
public class WebConfig  extends WebMvcConfigurerAdapter{
	
	@Autowired
	UserArgumentResolver userArgumentResolver;
	
	@Autowired
	AccessInterceptor accessInterceptor;
	
	@Override
	public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
		argumentResolvers.add(userArgumentResolver);
	}
	
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(accessInterceptor);
	}
	
}
鸭梨背后的意义
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
聚焦Java性能优化 打造亿级流量秒杀系统【学习笔记】09_防刷限流技术
安东尼的小不二的博客
07-05 1293
文章目录本章目标10-2 验证码技术验证码代码实现10-4 限流的目的限流方案限并发令牌桶算法漏桶算法限流范围10-6 限流代码实现(Guava RateLimit)10-7 防刷技术传统防刷黄牛为什么难防设备指纹凭证系统 本章目标 掌握验证码生成与验证技术 掌握限流原理与实现 掌握防黄牛技术 10-2 验证码技术 包装秒杀令牌前置,需要验证码来错峰 数学公式验证码生成器 验证码代码实现 新建CodeUtil实现生成验证码 package com.miaoshaproject.util; im
秒杀项目安全性处理总结
weixin_43214023的博客
03-19 1504
1.登录验证过程 1.前端js代码对输入框的数据进行校验 2.完成校验的password在前端使用js函数进行第一次md5,加密,通过ajax,把数据封装为loginVo传给后端。 3.后端拿到分装为loginVo的对象,对他进行参数的验证,加了一个自定义的校验器 4.经过验证之后,调用登录的方法,拿出loginVo中的手机号,去查找redis中是否有缓存 5.redis中有缓存则直接拿出来缓存的user对象 6.把传入的密码加上从取出的对象那里拿到的数据库salt进行第二次md5,对照取出的对
Java-秒杀系统-7.1 安全优化
oDianZi1234567的博客
02-10 150
1.秒杀接口地址隐藏。 http 本身是透明的, 思路:秒杀开始之前,先去请求接口获取秒杀地址。 function getMiaosha 1.1接口改造,带上Pathvarible参数。 1.2 添加生成地址的接口。 1.3秒杀收到请求,先去验证PathVarible. 2.数学公式验证码。 3.接口限流防刷。 ...
秒杀系统 安全优化 接口限流防刷
了凡
05-09 1040
接口限流防刷: 限制同一个用户一秒钟或者一分钟之内只能访问固定次数,在服务端对系统做一层保护。 思路:利用缓存实现,用户每次点击之后访问接口的时候,在缓存中生成一个计数器,第一次将这个计数器置1后存入缓存,并给其设定有效期,比如一分钟,一分钟之内再访问,那么数值加一。一分钟之内访问次数超过限定数值,直接返回失败。...
软件架构-解密电商系统-秒杀安全优化与限流防刷
IT架构圈博客
10-25 255
本次主要说说秒杀系统安全相关的优化,比方说秒杀系统的地址如何的隐藏,不让别人刷我的秒杀下单的接口,加验证码,接口做一个限流。本次要说的重点。 (一)极端优化 极端情况下, 用户已经下单成功,但还没有在缓存中插入,这时库存已经为了0,返回给用户已经抢完了,但是实际上用户已经下单成功了,在订单列表中,可以看到。时间差的问题。 解决方案:如果通过redis接口的检验后,放入异步消息队列中,也就是基本放入消息队列的情况下,不出意外都可以可以下单的。后端队列慢慢处理。在加入队列增加一个排队的标记miaos.
秒杀系统视频:第2章 项目开发环境与框架搭建
01-06
秒杀系统是电商领域中一个重要的技术应用,用于处理短时间内大量用户对有限商品的抢购需求。...通过这一章的学习,开发者能够掌握如何构建一个基础的秒杀系统架构,并为后续的功能实现和优化打下坚实的基础。
秒杀系统视频:第3章 实现用户登录以及分布式session功能
01-08
这两个功能是确保系统安全性和用户体验的关键。 首先,用户登录功能是任何在线系统的基础。在这个过程中,我们需要处理用户的身份验证和授权。在Java环境下,我们可以使用Spring Security框架来实现这一功能。...
秒杀系统:第4章 秒杀功能开发及管理后台
01-08
秒杀系统是电商、互联网行业中常见的一种促销策略,它能够在短时间内吸引大量用户参与,从而提升产品销售速度。在本章中,我们将深入探讨如何利用Java技术进行秒杀功能的开发以及构建相应的管理后台。 首先,我们...
聚焦java性能优化 打造亿级流量秒杀系统
最新发布
03-14
在构建亿级流量的秒杀系统时,Java性能优化是至关重要的环节。本文将深入探讨如何通过优化Java代码和架构来提升系统的处理能力和响应速度,从而应对大规模并发的秒杀场景。 一、JVM调优 1. **内存配置**:优化JVM...
redism秒杀系统优化
06-08
在构建高性能、高并发的Java秒杀系统时,Redis作为一款高效的键值存储数据库,常被用来优化系统性能,特别是处理大规模并发请求。本方案主要关注如何利用Redis来实现秒杀系统优化,以及如何结合Java实现用户登录和...
双11秒杀的风控与防刷怎么做
qq_42776039的博客
11-20 2039
前言 一年一度的“双11”结束了,截止11月12日零点,天猫GMV定格在5403亿元,再次位居榜首。 其实像这种购物场景,本质上叫秒杀。秒杀什么特点?量少、折扣大、稀缺,因此这种价值势必会吸引一群大聪明来用特殊手段抢购: 比如借助这种物理外挂抢购: 我肯定单身20多年的人手速都比不过它。 别问我为什么知道,我一个朋友说的,他说中国人不骗中国人。 比如通过第三方外挂,按时准点帮忙触发App内的抢购按钮的。 还有抓取并分析抢购接口,通过程序来模拟抢购过程的。 不光是双11,比如你过年抢火车票啊,抢周杰伦
秒杀活动的防刷限流技术
04-19 968
技术要点: * 掌握验证码生成与验证技术 * 掌握限流原理与实现 * 掌握防黄牛技术 验证码实现: * 验证码插件或者工具类 * 分布式验证放在redis中 限流方案: * 令牌桶算法:定时器每秒往桶里放置N个令牌 * 接口维度引入令牌桶算法 * 集群限流:依赖redis或其他的中间件技术做统一计数器,往往或产生性能瓶颈 * 单机限流:负载均衡的前提下单机平均限流效果更好 限流实现: // 下单业务控制类 private RateLimiter orderCreateRat
秒杀系统 安全优化 秒杀接口地址隐藏
了凡
05-08 2304
秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。) 实现思路: 在进行秒杀之前,去后端获取一个动态的秒杀地址path(服务端生成随机数作为path)...
Java-秒杀系统的设计
渐行渐远 的博客
07-28 3705
Java-秒杀系统的设计 Java-秒杀系统的设计 1 缘起 2 思路 &amp; 实现 2.1 数据库 2.2 前端 2.2.1 前后端分离 2.2.2 尽量的缓存前端 页面,压缩js 2.3 服务端接口 2.3.1 对象缓存 2.3.2 redis 预读库存 (重要) 2.3.3 使用 rabbitMq 进行异步下单 2.4 其他优化手段 2.4.1 秒杀验证码 2.4.2 隐藏...
秒杀项目 (7)安全优化
初心魏的博客
09-16 904
一、安全优化 1.1 思路 秒杀接口地址隐藏 数学公式验证码 接口限流防刷 1.2 隐藏秒杀地址原因 秒杀未开始前,如果抓包先获取path,在将path拼到秒杀地址上,也可以秒杀到商品(ps:不加验证码的情况下) 二、接口地址隐藏 2.1 秒杀之前,先去接口请求获取秒杀地址 思路 将生成的path存到redis中 @RequestMapping(value = "/path",method...
Java电商秒杀系统性能优化(九)——防刷限流技术—保护系统,免于过载
ghw15221836342的博客
08-30 2510
流量削峰技术-削峰填谷之神级操作概述一、验证码1.1 代码实现二、限流的目的三、限流方案3.1 限并发3.2 令牌桶算法3.3 漏桶算法原理四、限流力度 概述 本章介绍了常见的黄牛入侵手段,以及如何使用对应的防刷手段防止黄牛入侵。同时业务的发展预估永远可能高于系统可承载的能力,因此介绍了使用多种限流技术保证系统的稳定。 本章学习目标: 掌握验证码生成与验证技术; 掌握限流原理与实现; 掌握防...
24 秒杀系统 | 防刷技术 | 防刷方案分析
响定李的博客
05-02 437
防刷 秒杀令牌、秒杀大闸、队列泄洪、令牌桶算法都只能限制总流量,但无法控制黄牛流量,识别黄牛流量是个非常重要的议题;要识别出黄牛、黑客、接口模拟器的流量,并实施拦截; 传统防刷方案 限制会话 通过会话的标识,比如 JSESSIONID,token,限制一个会话,在同一秒/分钟内,接口调用的次数;针对多会话接入绕开,限制会话的方案是没有效果的;比如一个黄牛可能会开很多个会话/token 去接入系统...
实践出真知:全网最强秒杀系统架构解密,不是所有的秒杀都是秒杀!!
热门推荐
冰河的专栏
09-06 1万+
实践出真知,冰河用亲身经历告诉你如何设计一个秒杀系统架构:从电商系统架构到秒杀系统、从高并发“黑科技”与致胜奇招到服务器硬件优化,全方位立体掌握秒杀系统架构!!
SpringBoot秒杀项目五(秒杀安全优化
张毅的博客
12-14 420
1.优化思路 (1)秒杀接口地址隐藏。防止有人恶意秒杀 (2)数学公式验证码。也能防止恶意秒杀。并且能够减轻秒杀系统的瞬时流量,减轻并发量。比如:12306的购票需要输入验证码。这样就能将原先瞬间的并发量削减到10s之内。 (3)接口限流防刷。限制一个用户1分钟之内只能访问某个接口10次 2.秒杀接口地址隐藏 思路:秒杀开始之前,先去请求接口获取秒杀地址 接口改造,带上PathVariable参数 添加生成地址的接口 秒杀收到请求,先验证PathVariable (1)在前端点击秒杀抢购的时候,不直接跳
秒杀业务实战:架构优化与技术挑战
为解决这个问题,通常的做法是将秒杀系统独立部署,使用专用的域名,以隔离于主网站,防止活动期间对其他服务造成影响。 其次,高并发下的应用和数据库负载问题突出。用户通过刷新页面争夺秒杀资格,这可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值