目录
什么是接口防刷
接口被刷指的是同一接口被频繁调用,可能是由于以下原因导致:
- 恶意攻击: 攻击者利用自动化脚本或工具对接口进行大量请求,以消耗系统资源、拖慢系统响应速度或达到其他恶意目的。
- 误操作或程序错误: 某些情况下,程序错误或误操作可能导致接口被重复调用,例如循环调用或者定时任务配置错误。
常见的接口防刷策略
- 请求频率限制:限制单个用户或IP地址在一定时间内能够发送请求的次数,防止用户过度频繁地发送请求。
- 验证码验证:要求用户在发送请求之前先进行验证码验证,从而确保该请求是来自真实用户而不是机器人。
- 用户身份认证:要求用户在发送请求之前先进行身份认证,例如使用用户名和密码进行登录或使用API密钥进行身份验证,从而确保只有合法的用户可以发送请求。
- 动态令牌:为每个请求生成一个动态令牌,要求客户端在请求中附带该令牌,服务器端根据令牌来验证请求的合法性。
- 异常行为检测:通过监控用户的行为和请求模式,检测异常的请求行为,例如短时间内发送大量请求或者发送重复请求等,从而识别和阻止恶意用户或机器人。
Redis 实现接口防刷
Redis是一种高性能的键值存储系统,常用于缓存和分布式锁等场景。利用Redis可以有效地实现接口防刷功能:
- 计数器: 利用Redis的计数器功能,每次接口被调用时增加计数器的值,设定一个时间窗口内的最大调用次数,超过该次数则拒绝请求。
- 分布式锁: 利用Redis的分布式锁功能,确保同一时间只有一个请求能够增加计数器的值,防止并发问题导致计数器失效。
代码示例
importorg.springframework.data.redis.core.RedisTemplate;importorg.springframework.stereotype.Component;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importjava.util.concurrent.TimeUnit;importjavax.annotation.Resource;@ComponentpublicclassRateLimitInterceptorextendsHandlerInterceptorAdapter{@ResourceprivateRedisTemplate<String,String> redisTemplate;@OverridepublicbooleanpreHandle(HttpServletRequest request,HttpServletResponse response,Object handler)throwsException{String ipAddress = request.getRemoteAddr();String key ="rate_limit:"+ ipAddress;long count = redisTemplate.opsForValue().increment(key,1);if(count ==1){
redisTemplate.expire(key,1,TimeUnit.MINUTES);// 设置过期时间,防止数据永久存储}if(count >100){// 设置阈值为每分钟最多100次请求
response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
response.getWriter().write("请求过于频繁,请稍后重试");returnfalse;}returntrue;}}
拦截器实现接口防刷
- 编写拦截器:创建一个实现HandlerInterceptor接口的拦截器类,重写preHandle方法,在该方法中进行接口调用次数的检查,如果超过阈值则拦截请求。
- 配置拦截器:在Spring Boot的配置类中通过addInterceptor方法将拦截器注册到拦截器链中,配置拦截器的拦截路径和排除路径。
代码示例
- 使用拦截器实现接口防刷
importorg.springframework.stereotype.Component;importorg.springframework.web.servlet.HandlerInterceptor;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;@ComponentpublicclassRateLimitInterceptorimplementsHandlerInterceptor{privatestaticfinalintMAX_REQUESTS_PER_MINUTE=100;privatestaticfinalStringRATE_LIMIT_KEY_PREFIX="rate_limit:";privatefinalRedisTemplate<String,String> redisTemplate;publicRateLimitInterceptor(RedisTemplate<String,String> redisTemplate){this.redisTemplate = redisTemplate;}@OverridepublicbooleanpreHandle(HttpServletRequest request,HttpServletResponse response,Object handler)throwsException{String ipAddress = request.getRemoteAddr();String key =RATE_LIMIT_KEY_PREFIX+ ipAddress;Long count = redisTemplate.opsForValue().increment(key,1);if(count ==1){ redisTemplate.expire(key,1,TimeUnit.MINUTES);}if(count >MAX_REQUESTS_PER_MINUTE){ response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value()); response.getWriter().write("请求过于频繁,请稍后重试");returnfalse;}returntrue;}} - 拦截器配置
importorg.springframework.context.annotation.Configuration;importorg.springframework.web.servlet.config.annotation.InterceptorRegistry;importorg.springframework.web.servlet.config.annotation.WebMvcConfigurer;importjavax.annotation.Resource;@ConfigurationpublicclassWebMvcConfigimplementsWebMvcConfigurer{privatefinalRateLimitInterceptor rateLimitInterceptor;@AutowiredpublicWebMvcConfig(RateLimitInterceptor rateLimitInterceptor){this.rateLimitInterceptor = rateLimitInterceptor;}@OverridepublicvoidaddInterceptors(InterceptorRegistry registry){ registry.addInterceptor(rateLimitInterceptor).addPathPatterns("/**").excludePathPatterns("/exclude/**");// 可以排除一些不需要拦截的路径}}
总结
接口防刷是保障系统安全和稳定性的重要手段,利用Redis和拦截器可以很好地实现接口防刷功能。通过合理设置阈值和时间窗口,以及监控系统日志,可以及时发现异常情况并采取相应措施,确保系统正常运行
本文转载自: https://blog.csdn.net/weixin_37833693/article/details/139808467
版权归原作者 苏生Susheng 所有, 如有侵权,请联系我们删除。
版权归原作者 苏生Susheng 所有, 如有侵权,请联系我们删除。