SpringBoot实现接口防刷的两种方法

更新时间：2024年06月20日 10:34:17 作者：苏生Susheng

接口被刷指的是同一接口被频繁调用,可能是由于以下原因导致：恶意攻击和误操作或程序错误,本文给大家介绍了SpringBoot实现接口防刷的两种方法,并有相关的代码示例供大家参考,需要的朋友可以参考下

什么是接口防刷

接口被刷指的是同一接口被频繁调用，可能是由于以下原因导致：

恶意攻击： 攻击者利用自动化脚本或工具对接口进行大量请求，以消耗系统资源、拖慢系统响应速度或达到其他恶意目的。
误操作或程序错误： 某些情况下，程序错误或误操作可能导致接口被重复调用，例如循环调用或者定时任务配置错误。

常见的接口防刷策略

请求频率限制：限制单个用户或IP地址在一定时间内能够发送请求的次数，防止用户过度频繁地发送请求。
验证码验证：要求用户在发送请求之前先进行验证码验证，从而确保该请求是来自真实用户而不是机器人。
用户身份认证：要求用户在发送请求之前先进行身份认证，例如使用用户名和密码进行登录或使用API密钥进行身份验证，从而确保只有合法的用户可以发送请求。
动态令牌：为每个请求生成一个动态令牌，要求客户端在请求中附带该令牌，服务器端根据令牌来验证请求的合法性。
异常行为检测：通过监控用户的行为和请求模式，检测异常的请求行为，例如短时间内发送大量请求或者发送重复请求等，从而识别和阻止恶意用户或机器人。

Redis 实现接口防刷

Redis是一种高性能的键值存储系统，常用于缓存和分布式锁等场景。利用Redis可以有效地实现接口防刷功能：

计数器： 利用Redis的计数器功能，每次接口被调用时增加计数器的值，设定一个时间窗口内的最大调用次数，超过该次数则拒绝请求。
分布式锁： 利用Redis的分布式锁功能，确保同一时间只有一个请求能够增加计数器的值，防止并发问题导致计数器失效。

代码示例

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.concurrent.TimeUnit;

import javax.annotation.Resource;

@Component
public class RateLimitInterceptor extends HandlerInterceptorAdapter {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        String key = "rate_limit:" + ipAddress;
        long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            redisTemplate.expire(key, 1, TimeUnit.MINUTES); // 设置过期时间，防止数据永久存储
        }
        if (count > 100) { // 设置阈值为每分钟最多100次请求
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁，请稍后重试");
            return false;
        }
        return true;
    }
}

拦截器实现接口防刷

编写拦截器：创建一个实现HandlerInterceptor接口的拦截器类，重写preHandle方法，在该方法中进行接口调用次数的检查，如果超过阈值则拦截请求。
配置拦截器：在Spring Boot的配置类中通过addInterceptor方法将拦截器注册到拦截器链中，配置拦截器的拦截路径和排除路径。

代码示例

使用拦截器实现接口防刷

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class RateLimitInterceptor implements HandlerInterceptor {

    private static final int MAX_REQUESTS_PER_MINUTE = 100;
    private static final String RATE_LIMIT_KEY_PREFIX = "rate_limit:";
    private final RedisTemplate<String, String> redisTemplate;

    public RateLimitInterceptor(RedisTemplate<String, String> redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        String key = RATE_LIMIT_KEY_PREFIX + ipAddress;
        Long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            redisTemplate.expire(key, 1, TimeUnit.MINUTES);
        }
        if (count > MAX_REQUESTS_PER_MINUTE) {
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁，请稍后重试");
            return false;
        }
        return true;
    }
}

拦截器配置

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    private final RateLimitInterceptor rateLimitInterceptor;

    @Autowired
    public WebMvcConfig(RateLimitInterceptor rateLimitInterceptor) {
        this.rateLimitInterceptor = rateLimitInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(rateLimitInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/exclude/**"); // 可以排除一些不需要拦截的路径
    }
}

总结

接口防刷是保障系统安全和稳定性的重要手段，利用Redis和拦截器可以很好地实现接口防刷功能。通过合理设置阈值和时间窗口，以及监控系统日志，可以及时发现异常情况并采取相应措施，确保系统正常运行

以上就是SpringBoot实现接口防刷的两种方法的详细内容，更多关于SpringBoot接口防刷的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

Java编程实现swing圆形按钮实例代码
这篇文章主要介绍了Java编程实现swing圆形按钮实例代码，涉及两个简单的Java实现按钮的代码，其中一个具有侦测点击事件的简单功能，具有一定借鉴价值，需要的朋友可以参考。
2017-11-11
详解Spring Cache使用Redisson分布式锁解决缓存击穿问题
本文主要介绍了详解Spring Cache使用Redisson分布式锁解决缓存击穿问题，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2022-04-04
解决IDEA创建第一个spring boot项目提示cannot resolve xxx等
这篇文章主要介绍了解决IDEA创建第一个spring boot项目提示cannot resolve xxx等错误问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-01-01
Java回调函数与观察者模式实例代码
这篇文章主要介绍了Java回调函数与观察者模式实例代码，简单介绍了使用观察者模式的场景，分享了相关代码示例，小编觉得还是挺不错的，具有一定借鉴价值，需要的朋友可以参考下
2018-02-02
SpringBoot 实现定时任务的方法详解
这篇文章主要介绍了SpringBoot 实现定时任务的方法详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-08-08
springboot读取文件,打成jar包后访问不到的解决
这篇文章主要介绍了springboot读取文件,打成jar包后访问不到的解决方案，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07
Java IO流实战之文件复制、文本读写、对象序列化详细解析
Java IO提供了对象序列化机制,可以将对象转换为字节流,并从字节流还原对象,这篇文章主要介绍了Java IO流实战之文件复制、文本读写、对象序列化的相关资料,文中通过代码介绍的非常详细,需要的朋友可以参考下
2025-11-11
Java枚举与注解的创建步骤
这篇文章通过抽象的概念和具体实现步骤,充分说明了java枚举与注解的概念和使用方法,通过该篇文章你可以学会如何自定义枚举类和了解部分Java内置注解,希望对你有所帮助
2021-06-06
idea首次使用需要配置哪些东西
这篇文章主要介绍了idea首次使用需要配置哪些东西,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-08-08
在Spring项目中DTO层的作用和最佳实践
本文介绍了DTO（Data Transfer Object）在Spring项目中的作用和最佳实践,通过本文,读者可以更好地理解DTO在Spring项目中的重要性和如何合理设计DTO以满足业务需求,感兴趣的朋友跟随小编一起看看吧
2026-02-02