攔截器+redis
為了防止惡意訪問(wèn)接口造成服務(wù)器和數(shù)據(jù)庫(kù)壓力增大導(dǎo)致癱瘓,接口防刷(防止重復(fù)提交)在工作中是必不可少的,web項(xiàng)目前端也能夠?qū)崿F(xiàn),我們要介紹的是后端如何實(shí)現(xiàn)接口防刷。
實(shí)現(xiàn)思路
由于本人能力有限,只接觸過(guò)集群部署,一般都是使用兩種方案解決,一種是攔截器+Redis實(shí)現(xiàn),另外一種是使用攔截器+Guava Cache等本地緩存實(shí)現(xiàn),此處介紹第一種。
實(shí)現(xiàn)原理是利用攔截器攔截所有接口請(qǐng)求,然后對(duì)需要防刷的接口使用注解標(biāo)識(shí),在攔截器中判斷使用注解的方法,將根據(jù)請(qǐng)求的URI和用戶(hù)信息生成唯一的Key和訪問(wèn)次數(shù)存放到redis中,之后的每次請(qǐng)求都會(huì)使訪問(wèn)次數(shù)加一。
利用redis能夠過(guò)期的特性設(shè)定好一個(gè)訪問(wèn)周期的間隔時(shí)間。
實(shí)現(xiàn)目標(biāo):兩次請(qǐng)求時(shí)間間隔5秒不算重復(fù)提交,但30秒內(nèi)調(diào)用5次以上判定為惡意訪問(wèn)。
接下來(lái)我們來(lái)實(shí)現(xiàn)吧
具體實(shí)現(xiàn)
自定義一個(gè)注解AccessLimit,seconds為設(shè)置的秒數(shù)范圍,maxCount是范圍時(shí)間內(nèi)可以訪問(wèn)的次數(shù),needLogin與本文無(wú)關(guān)可忽略。
@Retention(RUNTIME)
@Target(METHOD)
public @interface AccessLimit {
int seconds();
int maxCount();
boolean needLogin() default true;
}
創(chuàng)建一個(gè)攔截器,繼承HandlerInterceptorAdapter,在preHandle方法中做具體的操作。
每次請(qǐng)求都會(huì)根據(jù)key查詢(xún)r(jià)edis獲取其訪問(wèn)次數(shù),如果沒(méi)有則是第一次訪問(wèn),往redis中插入數(shù)據(jù),過(guò)期時(shí)間是注解中的屬性值seconds。
@Component
public class RepeatRequestInterceptor extends HandlerInterceptorAdapter {
@Autowired
private RedisUtils redisUtils;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//判斷請(qǐng)求是否屬于方法的請(qǐng)求
if(handler instanceof HandlerMethod){
HandlerMethod hm = (HandlerMethod) handler;
//獲取方法中的注解,看是否有該注解
AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
if(accessLimit == null){
return true;
}
int seconds = accessLimit.seconds();
int maxCount = accessLimit.maxCount();
boolean login = accessLimit.needLogin();
String key = request.getRequestURI();
//如果需要登錄
if(login){
//獲取登錄的session進(jìn)行判斷
//.....
key+=""+"1"; //這里假設(shè)用戶(hù)是1,項(xiàng)目中是動(dòng)態(tài)獲取的userId
}
//從redis中獲取用戶(hù)訪問(wèn)的次數(shù)(redis中保存的key保存30秒,redisUtils使用的單位是秒)
Integer count = redisUtils.get(key,Integer.class,seconds);
if(count == null){
//第一次訪問(wèn) key保存5秒 5秒后再訪問(wèn)key已過(guò)期,會(huì)重新生成
redisUtils.set(key,1,5);
}else if(count < maxCount){
//加1
redisUtils.increment(key);
}else{
//超出訪問(wèn)次數(shù)
render(response);
return false;
}
}
return true;
}
private void render(HttpServletResponse response)throws Exception {
response.setContentType("Application/json;charset=UTF-8");
OutputStream out = response.getOutputStream();
String str = "{'mdg':'請(qǐng)求次數(shù)太多了'}";
out.write(str.getBytes("UTF-8"));
out.flush();
out.close();
}
}
附上redisUtils代碼
@Component
public class RedisUtils {
@Autowired
private RedisTemplate<String, Object> redisTemplate;
@Autowired
private ValueOperations<String, String> valueOperations;
/**
* 不設(shè)置過(guò)期時(shí)長(zhǎng)
*/
public final static long NOT_EXPIRE = -1;
/**
* 設(shè)置key value
*/
public void set(String key, Object value){
set(key, value, CacheConstant.DEFAULT_EXPIRE);
}
public void set(String key, Object value, long expire){
valueOperations.set(key, toJson(value));
if(expire != NOT_EXPIRE){
redisTemplate.expire(key, expire, TimeUnit.SECONDS);
}
}
/**
* 根據(jù)key獲得對(duì)象
*/
public <T> T get(String key, Class<T> clazz) {
return get(key, clazz, NOT_EXPIRE);
}
public <T> T get(String key, Class<T> clazz, long expire) {
String value = valueOperations.get(key);
if(expire != NOT_EXPIRE){
redisTemplate.expire(key, expire, TimeUnit.SECONDS);
}
return value == null ? null : fromJson(value, clazz);
}
/**
* 根據(jù)key獲得value
*/
public String get(String key) {
return get(key, NOT_EXPIRE);
}
public String get(String key, long expire) {
String value = valueOperations.get(key);
if(expire != NOT_EXPIRE){
redisTemplate.expire(key, expire, TimeUnit.SECONDS);
}
return value;
}
public void increment(String key) {
redisTemplate.opsForValue().increment(key,1L);
}
}
通過(guò)JAVAconfig形式把Interceptor注冊(cè)到容器中
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Autowired
private RepeatRequestInterceptor interceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(interceptor);
}
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS")
.allowCredentials(true).maxAge(3600);
}
}
接口調(diào)用
編寫(xiě)一個(gè)測(cè)試類(lèi),寫(xiě)一個(gè)測(cè)試接口,如下
@RestController
@RequestMapping("/bid-applicant")
public class BidApplicantController extends BaseController {
@AccessLimit(seconds=30, maxCount=5, needLogin=true)
@RequestMapping("/fangshua")
public ResponseInfo fangshua(){
return ResponseInfo.ok("請(qǐng)求成功");
}
測(cè)試
我在第一次請(qǐng)求后的30秒內(nèi)連續(xù)訪問(wèn)超過(guò)5次請(qǐng)求,會(huì)輸出我的報(bào)錯(cuò)信息,工作中可以跳轉(zhuǎn)自己的錯(cuò)誤頁(yè)面。
