SpringBoot实现接口防刷的两种方法

 更新时间:2024年06月20日 10:34:17   作者:苏生Susheng  
接口被刷指的是同一接口被频繁调用,可能是由于以下原因导致:恶意攻击和误操作或程序错误,本文给大家介绍了SpringBoot实现接口防刷的两种方法,并有相关的代码示例供大家参考,需要的朋友可以参考下

什么是接口防刷

接口被刷指的是同一接口被频繁调用,可能是由于以下原因导致:

  • 恶意攻击: 攻击者利用自动化脚本或工具对接口进行大量请求,以消耗系统资源、拖慢系统响应速度或达到其他恶意目的。
  • 误操作或程序错误: 某些情况下,程序错误或误操作可能导致接口被重复调用,例如循环调用或者定时任务配置错误。

常见的接口防刷策略

  1. 请求频率限制:限制单个用户或IP地址在一定时间内能够发送请求的次数,防止用户过度频繁地发送请求。

  2. 验证码验证:要求用户在发送请求之前先进行验证码验证,从而确保该请求是来自真实用户而不是机器人。

  3. 用户身份认证:要求用户在发送请求之前先进行身份认证,例如使用用户名和密码进行登录或使用API密钥进行身份验证,从而确保只有合法的用户可以发送请求。

  4. 动态令牌:为每个请求生成一个动态令牌,要求客户端在请求中附带该令牌,服务器端根据令牌来验证请求的合法性。

  5. 异常行为检测:通过监控用户的行为和请求模式,检测异常的请求行为,例如短时间内发送大量请求或者发送重复请求等,从而识别和阻止恶意用户或机器人。

Redis 实现接口防刷

Redis是一种高性能的键值存储系统,常用于缓存和分布式锁等场景。利用Redis可以有效地实现接口防刷功能:

  • 计数器: 利用Redis的计数器功能,每次接口被调用时增加计数器的值,设定一个时间窗口内的最大调用次数,超过该次数则拒绝请求。
  • 分布式锁: 利用Redis的分布式锁功能,确保同一时间只有一个请求能够增加计数器的值,防止并发问题导致计数器失效。

代码示例

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.concurrent.TimeUnit;

import javax.annotation.Resource;

@Component
public class RateLimitInterceptor extends HandlerInterceptorAdapter {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        String key = "rate_limit:" + ipAddress;
        long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            redisTemplate.expire(key, 1, TimeUnit.MINUTES); // 设置过期时间,防止数据永久存储
        }
        if (count > 100) { // 设置阈值为每分钟最多100次请求
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁,请稍后重试");
            return false;
        }
        return true;
    }
}

拦截器实现接口防刷

  • 编写拦截器:创建一个实现HandlerInterceptor接口的拦截器类,重写preHandle方法,在该方法中进行接口调用次数的检查,如果超过阈值则拦截请求。
  • 配置拦截器:在Spring Boot的配置类中通过addInterceptor方法将拦截器注册到拦截器链中,配置拦截器的拦截路径和排除路径。

代码示例

使用拦截器实现接口防刷

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class RateLimitInterceptor implements HandlerInterceptor {

    private static final int MAX_REQUESTS_PER_MINUTE = 100;
    private static final String RATE_LIMIT_KEY_PREFIX = "rate_limit:";
    private final RedisTemplate<String, String> redisTemplate;

    public RateLimitInterceptor(RedisTemplate<String, String> redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        String key = RATE_LIMIT_KEY_PREFIX + ipAddress;
        Long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            redisTemplate.expire(key, 1, TimeUnit.MINUTES);
        }
        if (count > MAX_REQUESTS_PER_MINUTE) {
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁,请稍后重试");
            return false;
        }
        return true;
    }
}

拦截器配置

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    private final RateLimitInterceptor rateLimitInterceptor;

    @Autowired
    public WebMvcConfig(RateLimitInterceptor rateLimitInterceptor) {
        this.rateLimitInterceptor = rateLimitInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(rateLimitInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/exclude/**"); // 可以排除一些不需要拦截的路径
    }
}

总结

接口防刷是保障系统安全和稳定性的重要手段,利用Redis和拦截器可以很好地实现接口防刷功能。通过合理设置阈值和时间窗口,以及监控系统日志,可以及时发现异常情况并采取相应措施,确保系统正常运行

以上就是SpringBoot实现接口防刷的两种方法的详细内容,更多关于SpringBoot接口防刷的资料请关注脚本之家其它相关文章!

相关文章

  • Java线程池拒绝策略场景分析

    Java线程池拒绝策略场景分析

    不同的业务场景对任务丢失的容忍度、响应延迟的要求、系统保护的需求各不相同,本文就来介绍一下Java线程池拒绝策略场景分析,感兴趣的可以了解一下
    2026-04-04
  • 详解基于Mybatis-plus多租户实现方案

    详解基于Mybatis-plus多租户实现方案

    这篇文章主要介绍了详解基于Mybatis-plus多租户实现方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-04-04
  • 数组与List之间相互转换的方法详解

    数组与List之间相互转换的方法详解

    本文是对数组与List之间相互转换的方法进行了详细的分析介绍,需要的朋友可以过来参考下。希望对大家有所帮助
    2013-10-10
  • Mybatis日志配置方式(slf4j、log4j、log4j2)

    Mybatis日志配置方式(slf4j、log4j、log4j2)

    这篇文章主要介绍了Mybatis日志配置方式(slf4j、log4j、log4j2),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2023-09-09
  • Java生成二维码的两种实现方式(基于Spring Boot)

    Java生成二维码的两种实现方式(基于Spring Boot)

    这篇文章主要给大家介绍了关于Java生成二维码的两种实现方式,文中的代码基于Spring Boot,本文基于JAVA环境,以SpringBoot框架为基础开发,文中通过实例代码介绍的非常详细,需要的朋友可以参考下
    2023-07-07
  • Java面试突击为什么要用HTTPS及它的优点

    Java面试突击为什么要用HTTPS及它的优点

    这篇文章主要介绍了Java面试突击为什么要用HTTPS及它的优点,文章围绕主题展开详细的内容介绍,具有一定的参考价值,需要的小伙伴可以参考一下
    2022-07-07
  • Mysql字段和java实体类属性类型匹配方式

    Mysql字段和java实体类属性类型匹配方式

    这篇文章主要介绍了Mysql字段和java实体类属性类型匹配方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-07-07
  • spring声明式事务@Transactional开发常犯的几个错误及最新解决方案

    spring声明式事务@Transactional开发常犯的几个错误及最新解决方案

    使用声明式事务@Transactional进行事务一致性的管理,在开发过程中,发现很多开发同学都用错了spring声明式事务@Transactional或使用不规范,导致出现各种事务问题,这篇文章主要介绍了spring声明式事务@Transactional开发常犯的几个错误及解决办法,需要的朋友可以参考下
    2024-02-02
  • Java实现PDF文档自动化比较的教程解析

    Java实现PDF文档自动化比较的教程解析

    在日常工作中,我们经常需要处理大量的 PDF 文档,本文将深入探讨如何利用 Java 技术,结合强大的 Spire.PDF for Java 库,实现 PDF 文档的自动化比较,感兴趣的可以了解下
    2025-11-11
  • Spring boot实现热部署的两种方式详解

    Spring boot实现热部署的两种方式详解

    这篇文章主要介绍了Spring boot实现热部署的两种方式,这两种方法分别是使用 Spring Loaded和使用spring-boot-devtools进行热部署,文中给出了详细示例代码和介绍,需要的朋友可以参考学习,下面来一起看看吧。
    2017-04-04

最新评论