如何实现接口防刷

最新推荐文章于 2024-03-27 19:37:45 发布
最新推荐文章于 2024-03-27 19:37:45 发布
阅读量189 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxxzzzqqq_/article/details/130028569
版权
本文探讨了如何通过Interceptor和Redis实现接口访问防刷,通过拦截器统计访问次数,结合Redis防止接口被频繁访问。文章指出,现有实现需要优化,包括接口自由、时间逻辑漏洞和路径参数问题,并提出了自定义注解+反射的方法,以实现更灵活的接口防刷策略。此外,文章还讨论了真实IP获取和总结了接口防刷的思考过程。
摘要由CSDN通过智能技术生成

前言

  • 本文为描述通过Interceptor以及Redis实现接口访问防刷Demo
  • 这里会通过逐步找问题,逐步去完善的形式展示

原理

  • 通过ip地址+uri拼接用以作为访问者访问接口区分
  • 通过在Interceptor中拦截请求,从Redis中统计用户访问接口次数从而达到接口防刷目的
  • 如下图所示

 

其中,Interceptor处代码处理逻辑最为重要

 

/**
 * @author: Zero
 * @time: 2023/2/14
 * @description: 接口防刷拦截处理
 */
@Slf4j
public class AccessLimintInterceptor  implements HandlerInterceptor {
    @Resource
    private RedisTemplate<String, Object> redisTemplate;

    /**
     * 多长时间内
     */
    @Value("${interfaceAccess.second}")
    private Long second = 10L;
​
    /**
     * 访问次数
     */
    @Value("${interfaceAccess.time}")
    private Long time = 3L;
​
    /**
     * 禁用时长--单位/秒
     */
    @Value("${interfaceAccess.lockTime}")
    private Long lockTime = 60L;
​
    /**
     * 锁住时的key前缀
     */
    public static final String LOCK_PREFIX = "LOCK";
​
    /**
     * 统计次数时的key前缀
     */
    public static final String COUNT_PREFIX = "COUNT";
​
​
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
​
        String uri = request.getRequestURI();
        String ip = request.getRemoteAddr(); // 这里忽略代理软件方式访问,默认直接访问,也就是获取得到的就是访问者真实ip地址
        String lockKey = LOCK_PREFIX + ip + uri;
        Object isLock = redisTemplate.opsForValue().get(lockKey);
        if(Objects.isNull(isLock)){
            // 还未被禁用
            String countKey = COUNT_PREFIX + ip + uri;
            Object count = redisTemplate.opsForValue().get(countKey);
            if(Objects.isNull(count)){
                // 首次访问
                log.info("首次访问");
                redisTemplate.opsForValue().set(countKey,1,second, TimeUnit.SECONDS);
            }else{
                // 此用户前一点时间就访问过该接口
                if((Integer)count < time){
                    // 放行,访问次数 + 1
                    redisTemplate.opsForValue().increment(countKey);
                }else{
                    log.info("{}禁用访问{}",ip, uri);
                    // 禁用
                    redisTemplate.opsForValue().set(lockKey, 1,lockTime, TimeUnit.SECONDS);
                    // 删除统计
                    redisTemplate.delete(countKey);
                    throw new CommonException(ResultCode.ACCESS_FREQUENT);
                }
            }
        }else{
            // 此用户访问此接口已被禁用
            throw new CommonException(ResultCode.ACCESS_FREQUENT);
        }
        return true;
    }
}
复制代码
    • 在多长时间内访问接口多少次,以及禁用的时长,则是通过与配置文件配合动态设置

 

    • 当处于禁用时直接抛异常则是通过在ControllerAdvice处统一处理(这里代码写的有点丑陋)

 

  • 下面是一些测试(可以把项目通过Git还原到“【初始化】”状态进行测试)
    • 正常访问时

 

 

    • 访问次数过于频繁时

最低0.47元/天 解锁文章
小满只想睡觉
关注
tp6/thinkphp6接口api开发/前后端分离/电商实战
08-05
本课程主要是用了vue前端  tp6作为后端提供api  开发的移动端仿京东商城应用。 学会使用tp6框架  对api接口进行jwt  token认证 使用阿里短信接口发送短信,用户注册登录 学会配置使用微信 支付宝h5支付 学会调用快递接口  用户查询物流信息
Spring Boot + Redis 实现 API 接口防刷
QiuHaoqian的博客
08-15 381
目录项目结构添加依赖:pom.xml修改配置文件定义防刷注解:AccessLimit定义MVC拦截器 FangshuaInterceptor(核心)添加配置类controller接口上使用防刷注解演示效果 项目结构 添加依赖:pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redi
优雅的接口防刷处理方式,看这一篇就够了
小学生波波
09-22 3780
优雅的接口防刷处理方式
PHP 接口防刷
weixin_42246465的博客
07-04 2032
PHP 接口防刷 /-------在首页请求设置token,再请求接口中请求一次后设置为空,多次请求不能成功,除非重新加载首页----------------/ public function index(){ session('token',$user['token']); return view('index'); } public function fenXiang(Request $request){ $parm = $request->param
thinkphp防刷代码
taotaobaobei的博客
01-02 1019
 原理:记录上次请求的时间t1,从请求参数中获取本次请求的时间 t2 ,做差,如果小于设置的请求次数,就终止请求 &lt;?php //代理IP直接退出 empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //防止快速新 session_start(); $seconds = '3'; //时间段[秒] $refresh = '5...
接口如何防止,教你有效的8种方法
m0_66326520的博客
02-23 2569
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口被恶意
Java利用注解进行接口防刷操作
05-17
总的来说,通过Java注解和拦截器实现接口防刷,不仅简化了代码结构,也提高了代码的可读性和可维护性。开发者可以根据实际情况选择合适的技术栈和设计模式,以达到高效、稳定和安全的接口防刷目标。
java AOP接口防刷代码
12-12
在这个"java AOP接口防刷代码"中,我们很可能是找到了一种防止接口被恶意频繁调用的解决方案,这在Web应用中尤其重要,因为接口可能会导致服务器资源耗尽,甚至影响正常用户的服务。 AOP的工作原理是通过动态...
springboot+redis实现网站限流和接口防刷功能.zip
09-29
在现代Web应用开发中,网站限流和接口防刷功能是至关重要的安全措施。通过结合Spring Boot和Redis,我们可以构建一套高效且灵活的限流系统,保护我们的服务免受恶意攻击,确保系统的稳定运行。本文将详细介绍如何...
lock_api_mount:api接口防刷插件 随时拔插
04-08
为了保护系统免受这种攻击,开发了各种防御机制,其中"lock_api_mount"就是一个针对API接口防刷插件,具有随时安装和卸载的灵活性。 "lock_api_mount"这个名字可能源于Linux系统的挂载(mount)概念,它可能暗示...
Springboot使用redis进行api防刷限流过程详解
08-25
Spring Boot 结合 Redis 实现 API 防刷限流的过程主要涉及到两个核心概念:限流算法和缓存机制。在本文中,我们将深入探讨如何利用 Redis 的存储特性以及 Spring Boot 的强大框架支持来构建一个高效的 API 限流系统...
Redis限流接口防刷
赵广陆
04-17 224
目录 1 需求分析/图解 2 简单接口限流 3 基于注解实现接口限流 1 需求分析/图解 Redis 除了做缓存,还能干很多很多事情:分布式锁、限流、处理请求接口幂等性 完成接口限流-防止某个用户频繁的请求秒杀接口 比如在短时间内,频繁点击抢购,我们需要给用户访问频繁的提示防止一直一个接口
实现接口防刷,最强方案在这!
01-29 919
优雅的实现接口防刷,最强方案来了~!
redis+aop实现接口防刷(幂等)
最新发布
zy11517的博客
03-27 1317
总之,幂等和接口防刷都是业务中常见的场景,redis,aop也是非常常用的技术栈,希望大家通过这个文章加深对业务、redis、springAOP的使用,后面考虑更ddd重构老项目,mq等,不过时间不一定,敬请期待。
如何优雅的实现接口防刷,看过来!!!
ybb_ymm的专栏
04-07 1868
我们的签名就是为了防止攻击者对我们的timestamp人工更改所作的措施,毕竟攻击者从抓包到重放请求已经远超过了60S,这个时候参数中的timestamp已经过期了,如果攻击者更改时间错,则数字签名就会校验失败。因为,攻击者是不知道签名秘钥的。这一方案,timestamp和nonceStr两者作为签名的一部分传到了后端,鉴于上面的timestamp方案使得攻击者只能在60S内进行了重放攻击操作,我们有通过了nonceStr随机数进行了60S内只能进行一次接口调用,则保证了我们接口避免重放攻击的漏洞!
Redis实现计数器---接口防刷---升级版(Redis+Lua)
热门推荐
通往精英的成长之路
03-18 2万+
【前言】 Cash Loan(一):Redis实现计数器---接口防刷 中介绍了项目中应用redis来做计数器的实现过程,最近自己看了些关于Redis实现分布式锁的代码后,发现在Redis分布式锁中出现一个问题在这版计数器中同样会出现,于是融入了Lua脚本进行升级改造有了Redis+Lua版本。 【实现过程】 一、问题分析 ...
tp6 接口频繁访问
aaa50820的博客
12-28 568
原理:通过中间件可以限定用户一段时间内的访问次数,防止用户恶意频繁访问接口。 使用命令安装插件 composer require topthink/think-throttle 在应用route目录下的app.php内 use think\middleware\Throttle; ...
springboot接口防刷实现
Terry Tian' coding Life
11-26 1633
本文主要介绍一种通过实现自定义注解,实现一种比较通用的接口防刷方式
必会接口防刷案例
BASK2312的博客
02-01 1564
实现原理是利用拦截器拦截所有接口请求,然后对需要防刷接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后的每次请求都会使访问次数加一。为了防止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口防刷(防止重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口防刷。我在第一次请求后的30秒内连续访问超过5次请求,会输出我的报错信息,工作中可以跳转自己的错误页面。附上redisUtils代码。
帮我写一个springboot接口防刷的切面实现
08-28
### 回答1: 在 Spring 中,可以使用 AOP(面向切面编程)来实现接口防刷的功能。下面是一个示例实现: 1. 在项目的 pom.xml 文件中加入 AOP 的依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> ``` 2. 创建一个切面类,用于处理接口防刷逻辑,例如: ``` @Aspect @Component public class AntiBrushAspect { @Autowired private RedisTemplate redisTemplate; @Pointcut("@annotation(com.example.annotation.AntiBrush)") public void antiBrushPointcut() { } @Around("antiBrushPointcut()") public Object doAntiBrush(ProceedingJoinPoint joinPoint) throws Throwable { MethodSignature signature = (MethodSignature) joinPoint.getSignature(); Method method = signature.getMethod(); AntiBrush antiBrush = method.getAnnotation(AntiBrush.class); int frequency = antiBrush.frequency(); long time = antiBrush.time(); String key = getKey(joinPoint, method); // 检查请求频率是否超过限制 if (checkFrequency(key, frequency, time)) { return Result.fail("请求过于频繁"); } try { return joinPoint.proceed(); } finally { // 更新请求频率 updateFrequency(key, frequency, time); } } private String getKey(ProceedingJoinPoint joinPoint, Method method) { // 获取请求的 IP 地址 String ip = RequestUtil.getIpAddr(); // 获取请求的方法名 String methodName = method.getName(); // 生成 Redis 的键 return String.format("anti_brush:%s:%s", ip, methodName); } private boolean checkFrequency(String key, int frequency, long time) { // 获取当前时间 long now = System.currentTimeMillis(); // 获取 Redis 中的记录 List<Long> records = (List<Long>) redisTemplate.opsForValue(). ### 回答2: Spring Boot提供了AOP(Aspect Oriented Programming,面向切面编程)的支持,可以通过切面实现接口防刷的功能。 首先,我们需要创建一个切面类,用于在接口被调用时进行处理。可以通过使用`@Aspect`来声明这个类是一个切面类,使用`@Component`将其注册为Spring Bean。 ```java @Aspect @Component public class RateLimitAspect { // 存储接口调用次数的缓存,这里使用ConcurrentHashMap private Map<String, AtomicInteger> counterMap = new ConcurrentHashMap<>(); // 定义切入点,这里设置为所有带有@RequestMapping注解的方法 @Pointcut("@annotation(org.springframework.web.bind.annotation.RequestMapping)") public void requestMappingPointcut() {} // 定义环绕通知,用于在接口被调用前进行处理 @Around("requestMappingPointcut()") public Object handleRateLimit(ProceedingJoinPoint joinPoint) throws Throwable { // 获取请求的URL String url = getRequestUrl(joinPoint); // 检查接口调用次数是否超过阈值 if (isRateLimitExceeded(url)) { throw new RuntimeException("接口调用频率超过限制"); } // 接口调用次数加1 incrementRateLimit(url); // 执行接口方法 return joinPoint.proceed(); } // 获取请求的URL private String getRequestUrl(ProceedingJoinPoint joinPoint) { MethodSignature signature = (MethodSignature) joinPoint.getSignature(); Method method = signature.getMethod(); RequestMapping annotation = method.getAnnotation(RequestMapping.class); return annotation.value()[0]; } // 检查接口调用次数是否超过阈值 private boolean isRateLimitExceeded(String url) { AtomicInteger counter = counterMap.get(url); return counter != null && counter.get() >= 5; // 假设阈值为5 } // 接口调用次数加1 private void incrementRateLimit(String url) { counterMap.computeIfAbsent(url, k -> new AtomicInteger()).incrementAndGet(); } } ``` 在切面类中,我们使用了一个Map来存储接口调用的次数,使用ConcurrentHashMap保证线程安全。在`handleRateLimit`方法中,我们首先通过`getRequestUrl`方法获取请求的URL,然后通过`isRateLimitExceeded`方法判断接口是否超过了阈值,如果超过则抛出异常。最后,我们通过`incrementRateLimit`方法将接口调用次数加1。 请注意,以上示例仅供参考,具体的实现方式可能因具体需求而有所不同。接口防刷实现可能需要考虑更多的因素,比如IP限制、令牌桶算法等。 ### 回答3: Spring Boot提供了AOP(面向切面编程)的支持,通过使用AOP可以很方便地实现接口防刷的功能。 首先,在Spring Boot项目中添加依赖,包括spring-boot-starter-aop和spring-boot-starter-web。 然后,创建一个切面类,用于实现接口防刷的逻辑。在该类上加上@Aspect注解,表示这是一个切面类。然后可以定义一个切点,用于指定需要进行拦截的接口方法。 示例代码如下: ```java import org.aspectj.lang.JoinPoint; import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Before; import org.springframework.stereotype.Component; import java.util.HashMap; import java.util.Map; @Aspect @Component public class InterfaceLimiterAspect { private static final Map<String, Integer> frequencyMap = new HashMap<>(); /** * 定义切点,对需要进行拦截的接口方法进行限制 */ @Before("execution(* com.example.controller.*.*(..))") public void limitInterfaceFrequency(JoinPoint joinPoint) throws Exception { // 获取接口方法的名称 String methodName = joinPoint.getSignature().toLongString(); // 判断是否已经达到了阈值 if (frequencyMap.containsKey(methodName) && frequencyMap.get(methodName) >= 10) { throw new Exception("接口频率超过限制"); } else { // 将接口方法加入到频率统计中 frequencyMap.put(methodName, frequencyMap.getOrDefault(methodName, 0) + 1); } } } ``` 上述示例代码中,切面类InterfaceLimiterAspect用于实现接口防刷的逻辑。在@Before注解中,通过execution表达式指定了需要进行拦截的接口方法,这里是拦截了com.example.controller包下的所有方法。 在切面方法中,通过JoinPoint对象获取到当前正在执行的接口方法的名称,然后在frequencyMap中判断该接口方法的访问频率是否超过限制,如果超过限制,则抛出异常;如果没有超过限制,则将接口方法的访问次数加1。 最后,在Spring Boot的启动类中添加@EnableAspectJAutoProxy注解,开启AOP的自动代理功能,使得切面生效。 以上就是一个简单的Spring Boot接口防刷的切面实现。需要注意的是,该示例中只是简单地通过接口方法的访问次数进行限制,并没有考虑到并发访问的情况。在实际开发中,可能需要结合其他的技术或工具来实现更精确的接口访问频率限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值