您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

一招教你搞定API接口防刷

时间:2022-07-04 11:02:22  来源:  作者:老周聊架构谈人生

拦截器+redis

为了防止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口防刷(防止重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口防刷。

实现思路

由于本人能力有限,只接触过集群部署,一般都是使用两种方案解决,一种是拦截器+Redis实现,另外一种是使用拦截器+Guava Cache等本地缓存实现,此处介绍第一种。

实现原理是利用拦截器拦截所有接口请求,然后对需要防刷的接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后的每次请求都会使访问次数加一。

利用redis能够过期的特性设定好一个访问周期的间隔时间。

实现目标:两次请求时间间隔5秒不算重复提交,但30秒内调用5次以上判定为恶意访问。

接下来我们来实现吧

具体实现

自定义一个注解AccessLimit,seconds为设置的秒数范围,maxCount是范围时间内可以访问的次数,needLogin与本文无关可忽略。

@Retention(RUNTIME)
@Target(METHOD)
public @interface AccessLimit {
    int seconds();
    int maxCount();
    boolean needLogin() default true;
}

创建一个拦截器,继承HandlerInterceptorAdapter,在preHandle方法中做具体的操作。

每次请求都会根据key查询redis获取其访问次数,如果没有则是第一次访问,往redis中插入数据,过期时间是注解中的属性值seconds。

@Component
public class RepeatRequestInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private RedisUtils redisUtils;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //判断请求是否属于方法的请求
        if(handler instanceof HandlerMethod){

            HandlerMethod hm = (HandlerMethod) handler;

            //获取方法中的注解,看是否有该注解
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if(accessLimit == null){
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean login = accessLimit.needLogin();
            String key = request.getRequestURI();
            //如果需要登录
            if(login){
                //获取登录的session进行判断
                //.....
                key+=""+"1";  //这里假设用户是1,项目中是动态获取的userId
            }

            //从redis中获取用户访问的次数(redis中保存的key保存30秒,redisUtils使用的单位是秒)
            Integer count = redisUtils.get(key,Integer.class,seconds);
            if(count == null){
                //第一次访问 key保存5秒 5秒后再访问key已过期,会重新生成
                redisUtils.set(key,1,5);
            }else if(count < maxCount){
                //加1
                redisUtils.increment(key);
            }else{
                //超出访问次数
                render(response);
                return false;
            }
        }
        return true;
    }
    private void render(HttpServletResponse response)throws Exception {
        response.setContentType("Application/json;charset=UTF-8");
        OutputStream out = response.getOutputStream();
        String str  = "{'mdg':'请求次数太多了'}";
        out.write(str.getBytes("UTF-8"));
        out.flush();
        out.close();
    }
}

附上redisUtils代码

@Component
public class RedisUtils {
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
    @Autowired
    private ValueOperations<String, String> valueOperations;
    /**
     * 不设置过期时长
     */
    public final static long NOT_EXPIRE = -1;

    /**
     * 设置key value
     */
    public void set(String key, Object value){
        set(key, value, CacheConstant.DEFAULT_EXPIRE);
    }

    public void set(String key, Object value, long expire){
        valueOperations.set(key, toJson(value));
        if(expire != NOT_EXPIRE){
            redisTemplate.expire(key, expire, TimeUnit.SECONDS);
        }
    }

    /**
     * 根据key获得对象
     */
    public <T> T get(String key, Class<T> clazz) {
        return get(key, clazz, NOT_EXPIRE);
    }

    public <T> T get(String key, Class<T> clazz, long expire) {
        String value = valueOperations.get(key);
        if(expire != NOT_EXPIRE){
            redisTemplate.expire(key, expire, TimeUnit.SECONDS);
        }
        return value == null ? null : fromJson(value, clazz);
    }

    /**
     * 根据key获得value
     */
    public String get(String key) {
        return get(key, NOT_EXPIRE);
    }
    public String get(String key, long expire) {
        String value = valueOperations.get(key);
        if(expire != NOT_EXPIRE){
            redisTemplate.expire(key, expire, TimeUnit.SECONDS);
        }
        return value;
    }

    public void increment(String key) {
        redisTemplate.opsForValue().increment(key,1L);
    }
}

通过JAVAconfig形式把Interceptor注册到容器中

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Autowired
    private RepeatRequestInterceptor interceptor;

   
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(interceptor);
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS")
                .allowCredentials(true).maxAge(3600);
    }
}

接口调用

编写一个测试类,写一个测试接口,如下

@RestController
@RequestMapping("/bid-applicant")
public class BidApplicantController extends BaseController {

    @AccessLimit(seconds=30, maxCount=5, needLogin=true)
    @RequestMapping("/fangshua")
    public ResponseInfo fangshua(){
        return ResponseInfo.ok("请求成功");
    }

测试

我在第一次请求后的30秒内连续访问超过5次请求,会输出我的报错信息,工作中可以跳转自己的错误页面。

一招教你搞定API接口防刷

 


一招教你搞定API接口防刷

 



Tags:API接口   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
优雅实现API接口开关:让你的应用更可控
环境:SpringBoot2.7.121. 概述本文将介绍如何为API接口动态添加开关功能。通过这个功能,我们可以控制API接口的正常访问或显示提示信息。这有助于在开发和维护过程中更好地管...【详细内容】
2023-11-28  Search: API接口  点击:(110)  评论:(0)  加入收藏
OpenHarmony4.0发布:新增4000多个API接口,交互及隐私能力增强
钛媒体App 11月6日消息,以“技术筑生态,智联赢未来”为主题的第二届OpenHarmony技术大会在北京举办,活动中,OpenHarmony 4.0版本正式发布。据介绍,OpenHarmony4.0版本开发套件同...【详细内容】
2023-11-07  Search: API接口  点击:(145)  评论:(0)  加入收藏
API接口参数验证的必备神器,让你的代码更高效!
环境:Springboot2.6.121. 简介Spring Validation是一种轻量级的数据验证框架,主要用于对Java对象进行校验。它为数据验证提供了统一的接口和基本的校验功能,解决了数据校验这一...【详细内容】
2023-11-07  Search: API接口  点击:(307)  评论:(0)  加入收藏
API接口脱敏:如何安全地处理敏感数据?
环境:SpringBoot2.6.12API接口脱敏是一种保护敏感数据的重要方法。它涉及到在数据传输和存储过程中,将敏感数据替换为无意义或伪装的数据,以防止未经授权的访问和泄露。下面是...【详细内容】
2023-10-07  Search: API接口  点击:(317)  评论:(0)  加入收藏
详解API接口如何安全的传输数据
在Spring中我们通过继承RequestBodyAdviceAdapter实现对于请求的内容进行解密操作,实现ResponseBodyAdvice来对相应内容进行加密处理。接下来将详细讲解数据加解密的实现过程...【详细内容】
2023-08-28  Search: API接口  点击:(259)  评论:(0)  加入收藏
如何调用AI室内设计软件的API接口
在此篇干货教程中,我将以向大家介绍如何使用API接口调用和接入AI室内设计。让我们一起来了解吧!...【详细内容】
2023-08-17  Search: API接口  点击:(337)  评论:(0)  加入收藏
如何接入midjourney的api接口
在进行midjourney的API开发之前,首先需要了解如何接入、调用和申请midjourney的API接口。✨midjourney的API无法直接调用,需要通过触站AI来调用midjourney的API接口。...【详细内容】
2023-08-06  Search: API接口  点击:(251)  评论:(0)  加入收藏
如何搭建ai绘画软件,一个API接口即可实现
以触站AI的API接口为例,教大家如何搭建ai绘画网站!首先,我们在触站AI找到:API开放接口先来测试一下效果:调用触站AI绘画网站的API步骤操作:1. 注册账号并获取API密钥:首先,您需要在A...【详细内容】
2023-07-31  Search: API接口  点击:(295)  评论:(0)  加入收藏
OpenAI大更新,API接口升级,并降低价格
6月14日消息,OpenAI为了在生成式人工智能领域中保持竞争优势,正在升级文本生成模型,并降低价格。美国当地时间周二,OpenAI宣布发布了GPT-3.5 Turbo和GPT-4的新版本。其中,GPT-4是...【详细内容】
2023-06-14  Search: API接口  点击:(71)  评论:(0)  加入收藏
建立高效的API接口安全策略
前言伴随互联网革命快速创新发展,API 需求的日益剧增,针对 API 的攻击几乎遍布各个行业,据报道 2022 年全年平均每月遭受攻击的 API 数量超过 21 万,游戏、社交、电商、制造等行...【详细内容】
2023-05-26  Search: API接口  点击:(278)  评论:(0)  加入收藏
▌简易百科推荐
Meta如何将缓存一致性提高到99.99999999%
介绍缓存是一种强大的技术,广泛应用于计算机系统的各个方面,从硬件缓存到操作系统、网络浏览器,尤其是后端开发。对于Meta这样的公司来说,缓存尤为重要,因为它有助于减少延迟、扩...【详细内容】
2024-04-15    dbaplus社群  Tags:Meta   点击:(3)  评论:(0)  加入收藏
SELECT COUNT(*) 会造成全表扫描?回去等通知吧
前言SELECT COUNT(*)会不会导致全表扫描引起慢查询呢?SELECT COUNT(*) FROM SomeTable网上有一种说法,针对无 where_clause 的 COUNT(*),MySQL 是有优化的,优化器会选择成本最小...【详细内容】
2024-04-11  dbaplus社群    Tags:SELECT   点击:(3)  评论:(0)  加入收藏
10年架构师感悟:从问题出发,而非技术
这些感悟并非来自于具体的技术实现,而是关于我在架构设计和实施过程中所体会到的一些软性经验和领悟。我希望通过这些分享,能够激发大家对于架构设计和技术实践的思考,帮助大家...【详细内容】
2024-04-11  dbaplus社群    Tags:架构师   点击:(2)  评论:(0)  加入收藏
Netflix 是如何管理 2.38 亿会员的
作者 | Surabhi Diwan译者 | 明知山策划 | TinaNetflix 高级软件工程师 Surabhi Diwan 在 2023 年旧金山 QCon 大会上发表了题为管理 Netflix 的 2.38 亿会员 的演讲。她在...【详细内容】
2024-04-08    InfoQ  Tags:Netflix   点击:(5)  评论:(0)  加入收藏
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(9)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(16)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(14)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(9)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(15)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(10)  评论:(0)  加入收藏
站内最新
站内热门
站内头条