- 12024考研408-计算机网络 第三章-数据链路层学习笔记_考研 计算机网络 后退n帧协议
- 2Python 深拷贝和浅拷贝深析
- 3计算机毕业设计选题基于Uniapp+ssm宠物时光管理系统App[源码+文档+答疑+远程
- 4从零开始Py2neo操作Neo4j(一)_py2neo neo4j从零开始创建
- 5打造专属个人模型-私有独立离线模型部署-阿里云GPU服务器配置
- 6强化学习PPO代码解释以及流程_ppo lstm
- 7Docker容器中安装JDK_docker jdk
- 8网络层协议总览_网络层协议有哪些
- 9win10设置每天定时清理计算机缓存_windows定期回收内存
- 10Unity游戏开发,C#如何设置左右移动
如何防止接口被恶意请求?添加时间戳检验?_拦截请求 修改时间戳
赞
踩
添加时间戳校验位
比如给客户端提供一个timestamp参数,值是13位的毫秒级时间戳,可以在第12位或者13位做一个校验位,通过一定的算法给其他12位的值做一个校验。
举例:现在实际时间是 1684059940123,我把前12位通过算法算出来校验位的值是9,参数则把最后一位改成9,即1684059940129,值传到服务端后通过前十二位也可以算出来值,来判断这个时间戳是不是合法的。
生成校验位的算法要确保前后端一致,比如校验位的值都取倒数第二位的值(可过滤掉90%)恶意请求。
添加拦截器防止接口恶意狂刷
其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提示错误信息。
添加注解
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AccessLimit {
int seconds();
int maxCount();
}
自定义拦截器
public class SessionInterceptor extends HandlerInterceptorAdapter {
private static final Logger logger = LoggerFactory.getLogger(SessionInterceptor.class);
@Autowired
private UserAuthService userAuthService;
@Autowired
private UserContext userContext;
@Autowired
private RedisUtil redisUtil;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String session = request.getHeader("Authorization");
if (StringUtils.isEmpty(session)) {
throw new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");
}
HandlerMethod hm = (HandlerMethod) handler;
//获取方法中的注解,看是否有该注解
AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
if(accessLimit != null){
int seconds = accessLimit.seconds();
int maxCount = accessLimit.maxCount();
//从redis中获取用户访问的次数
String ip = request.getHeader("x-forwarded-for"); // 有可能ip是代理的
if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
}
if(ip ==null || ip.length() ==0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getRemoteAddr();
}
Integer count = (Integer)redisUtil.get(RedisKey.SECOND_ACCESS + ip);
if(count == null){
//第一次访问
redisUtil.set(RedisKey.SECOND_ACCESS + ip, 1, seconds);
}else if(count < maxCount){
//加1
count = count + 1;
redisUtil.incr(RedisKey.SECOND_ACCESS + ip, count);
}else{
//超出访问次数
logger.info("访问过快ip ===> " + ip + " 且在 " + seconds + " 秒内超过最大限制 ===> " + maxCount + " 次数达到 ====> " + count);
response.setCharacterEncoding("UTF-8"); response.setContentType("application/json; charset=utf-8");
ReturnObject result = new ReturnObject(); result.setCode(ReturnCode.OPERATION_FAILED.getCode());
result.setData("操作太快了");
Object obj = JSONObject.toJSON(result); response.getWriter().write(JSONObject.toJSONString(obj));
return false;
}
}
Integer userId = userAuthService.getUserIdBySession(session);
//获取登录的session进行判断
if (userId == null || userId == 0) {
throw new UserException(ReturnCode.BAD_REQUEST, "无效session");
}
userContext.setUserId(userId);
return super.preHandle(request, response, handler);
}
}
添加拦截器
@Configuration
public class WebConfig extends WebMvcConfigurationSupport {
@Autowired
private SessionInterceptor interceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(interceptor);
}
}
这里采用了注解方式(拦截器),结合redis来存储请求次数,达到上限就不让用户操作。当然,redis有时间限制,到了时间用户可以再次请求接口的。
