接口被恶意狂刷,怎么办?

开发 前端
判断是否为相同请求,使用:URI+userId+日期。即Redis的key=URI+userId+yyyyMMdd,缓存有效期为一天。很多都在代码里有注释了,另外强调一下,不要吐槽代码,仅仅是演示。

 [[415967]]

下面是原本面试现场:

面试官:接口被恶意狂刷,怎么办?

我:这个没搞过(每天CRUD,真的没搞过)

面试官:如果现在让你来设计,你会怎么设计?

我:巴拉巴拉...胡扯一通

面试官:(带着不耐烦的表情)我们还是换个话题吧

.....

为了不让大家也和我有同样的遭遇,今天,咱们就用一个非常简单的方式实现防刷:

一个注解搞定防刷

技术点

涉及到的技术点有如下几个:

  • 自定义注解
  • 拦截器
  • Redis的基本操作
  • Spring Boot项目

其实,非常简单,主要的还是看业务。

本文主要内容:

自定义注解

自定义一注解AccessLimit。

  1. import java.lang.annotation.Retention; 
  2. import java.lang.annotation.Target; 
  3.   
  4. import static java.lang.annotation.ElementType.METHOD; 
  5. import static java.lang.annotation.RetentionPolicy.RUNTIME; 
  6.   
  7. @Retention(RUNTIME) 
  8. @Target(METHOD) 
  9. public @interface AccessLimit {  
  10.     //次数上限 
  11.     int maxCount(); 
  12.     //是否需要登录 
  13.     boolean needLogin()default false

添加Redis配置项

在配置文件中,加入Redis配置;

  1. spring.redis.database=0 
  2. spring.redis.host=127.0.0.1 
  3. spring.redis.port=6379 
  4. spring.redis.jedis.pool.max-active=100 
  5. spring.redis.jedis.pool.max-idle=100 
  6. spring.redis.jedis.pool.min-idle=10 
  7. spring.redis.jedis.pool.max-wait=1000ms 

注意,把Redis的starter在pom中引入。

  1. <dependency> 
  2.     <groupId>org.springframework.boot</groupId> 
  3.     <artifactId>spring-boot-starter-data-redis</artifactId> 
  4.  </dependency> 

创建拦截器

创建拦截器,所有请求都进行拦截,防刷的主要内容全部在这里。

  1. // 一堆import 这里就不贴出来了,需要的自己导入 
  2. /** 
  3.  *  处理方法上 有 AccessLimitEnum 注解的方法 
  4.  * @author java后端技术全栈 
  5.  * @date 2021/8/6 15:42 
  6.  */ 
  7. @Component  
  8. public class FangshuaInterceptor extends HandlerInterceptorAdapter { 
  9.  
  10.     @Resource 
  11.     private RedisTemplate<String,Object> redisTemplate; 
  12.  
  13.     @Override 
  14.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { 
  15.  
  16.         System.out.println("----FangshuaInterceptor-----"); 
  17.         //判断请求是否属于方法的请求 
  18.         if (handler instanceof HandlerMethod) { 
  19.  
  20.             HandlerMethod hm = (HandlerMethod) handler; 
  21.  
  22.             //检查方法上室友有AccessLimit注解 
  23.             AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class); 
  24.             if (accessLimit == null) { 
  25.                 return true
  26.             } 
  27.             //获取注解中的参数, 
  28.             int maxCount = accessLimit.maxCount(); 
  29.             boolean login = accessLimit.needLogin(); 
  30.             String key = request.getRequestURI(); 
  31.             //防刷=同一个请求路径+同一个用户+当天 
  32.             //如果需要登录 
  33.             if (login) { 
  34.                 //可以充session中获取user相关信息 
  35.                 //这里的userId暂时写死, 
  36.                 Long userId = 101L; 
  37.                 String currentDay = format(new Date(), "yyyyMMdd"); 
  38.                 key += currentDay + userId; 
  39.             }else
  40.                 //可以根据用户使用的ip+日期进行判断 
  41.             } 
  42.  
  43.             //从redis中获取用户访问的次数 
  44.             Object countCache = redisTemplate.opsForValue().get(key); 
  45.             if (countCache == null) { 
  46.                 //第一次访问,有效期为一天 
  47.                 //时间单位自行定义 
  48.                 redisTemplate.opsForValue().set(key,1,86400, TimeUnit.SECONDS); 
  49.             } else
  50.                 Integer count = (Integer)countCache; 
  51.                 if (count < maxCount) { 
  52.                     //加1 
  53.                     count++; 
  54.                     //也可以使用increment(key)方法 
  55.                     redisTemplate.opsForValue().set(key,count); 
  56.                 } else { 
  57.                     //超出访问次数 
  58.                     render(response, "访问次数已达上限!"); 
  59.                     return false
  60.                 } 
  61.             } 
  62.         } 
  63.         return true
  64.     } 
  65.     //仅仅是为了演示哈 
  66.     private void render(HttpServletResponse response, String msg) throws Exception { 
  67.         response.setContentType("application/json;charset=UTF-8"); 
  68.         OutputStream out = response.getOutputStream(); 
  69.         out.write(msg.getBytes("UTF-8")); 
  70.         out.flush(); 
  71.         out.close(); 
  72.     } 
  73.     //日期格式 
  74.     public static String format(Date date, String formatString) { 
  75.         if (formatString == null) { 
  76.             formatString = DATE_TIME_FORMAT; 
  77.         } 
  78.         DateFormat dd = new SimpleDateFormat(formatString); 
  79.         return dd.format(date); 
  80.     } 

注意

判断是否为相同请求,使用:URI+userId+日期。即Redis的key=URI+userId+yyyyMMdd,缓存有效期为一天。

很多都在代码里有注释了,另外强调一下,不要吐槽代码,仅仅是演示。

注册拦截器

尽管上面我们已经自定义并实现好了拦截器,但还需要我们手动注册。

  1. import com.example.demo.ExceptionHander.FangshuaInterceptor; 
  2. import org.springframework.beans.factory.annotation.Autowired; 
  3. import org.springframework.context.annotation.Configuration; 
  4. import org.springframework.web.servlet.config.annotation.InterceptorRegistry; 
  5. import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; 
  6.  
  7. @Configuration 
  8. public class WebConfig extends WebMvcConfigurerAdapter { 
  9.   
  10.     @Autowired 
  11.     private FangshuaInterceptor interceptor; 
  12.   
  13.   
  14.     @Override 
  15.     public void addInterceptors(InterceptorRegistry registry) { 
  16.         registry.addInterceptor(interceptor); 
  17.     } 

这样我们的注解就正式注册到拦截器链中了,后面项目中才会有效。

使用注解

前面的准备都搞定了,现在来具体使用。

首先,我们创建一个简单的controller,然后,在方法上加上我们自定义的注解AccessLimit,就可以实现接口防刷了。

  1. import com.example.demo.result.Result; 
  2. import org.springframework.stereotype.Controller; 
  3. import org.springframework.web.bind.annotation.RequestMapping; 
  4. import org.springframework.web.bind.annotation.ResponseBody; 
  5.   
  6. @Controller 
  7. public class FangshuaController { 
  8.     //具体请求次数由具体业务决定,以及是否需要登录 
  9.     @AccessLimit(maxCount=5, needLogin=true
  10.     @RequestMapping("/fangshua"
  11.     @ResponseBody 
  12.     public Object fangshua(){ 
  13.         return "请求成功"
  14.   
  15.     } 

测试,浏览器页面上访问:http://localhost:8080/fangshua

前面4次返回的是:请求成功

超过4次后变成:访问次数已达上限!

一个注解就搞定了,是不是 so easy !!!

总结

关于接口防刷,如果在面试中被问到,至少还是能说个123了。也建议大家手动试试,自己搞出来了更带劲儿。

 

责任编辑:武晓燕 来源: Java后端技术全栈
相关推荐

2024-02-19 00:00:00

接口图形验证码

2016-08-08 15:03:54

腾讯云电商腾讯云天御系统

2024-03-13 13:25:09

Redis分布式锁

2021-10-01 00:12:12

Redis分布式

2011-06-30 17:58:30

网站被K

2020-07-10 08:46:26

HTTPS证书劫持网络协议

2015-03-31 15:33:55

2012-11-27 10:41:33

2021-04-13 10:41:25

Redis内存数据库

2011-06-27 15:42:23

降权SEO

2017-05-11 16:54:16

2018-11-27 09:28:41

API攻击恶意

2017-12-08 11:14:21

2019-02-18 15:45:24

CPU频率温度

2018-01-30 09:25:04

2022-09-05 09:02:01

服务器CPU服务

2017-03-13 15:25:51

Windows 7Windows端口占用

2015-03-24 16:58:18

iPhone6

2022-10-10 08:28:57

接口内网服务AOP

2022-04-18 10:07:30

服务器安全设置
点赞
收藏

51CTO技术栈公众号