必会接口防刷案例

后端接口防刷实现:拦截器+Redis策略
最新推荐文章于 2025-09-01 09:34:50 发布
原创 最新推荐文章于 2025-09-01 09:34:50 发布 · 1.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #redis #前端

文章介绍了如何使用拦截器结合Redis来防止恶意访问和重复提交,通过在拦截器中对特定接口进行注解,记录请求URI和用户信息的唯一Key及访问次数,利用Redis的过期机制限制接口在一定时间内的访问频率。当请求超出预设阈值时,系统将阻止进一步的访问并返回错误信息。
部署运行你感兴趣的模型镜像

拦截器+Redis

为了防止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口防刷(防止重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口防刷。

实现思路

由于本人能力有限,只接触过集群部署,一般都是使用两种方案解决,一种是拦截器+Redis实现,另外一种是使用拦截器+Guava Cache等本地缓存实现,此处介绍第一种。

实现原理是利用拦截器拦截所有接口请求,然后对需要防刷的接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后的每次请求都会使访问次数加一。

利用redis能够过期的特性设定好一个访问周期的间隔时间。

实现目标:两次请求时间间隔5秒不算重复提交,但30秒内调用5次以上判定为恶意访问。

接下来我们来实现吧

具体实现

自定义一个注解AccessLimit,seconds为设置的秒数范围,maxCount是范围时间内可以访问的次数,needLogin与本文无关可忽略。

@Retention(RUNTIME)
@Target(METHOD)
public @interface AccessLimit {
    int seconds();
    int maxCount();
    boolean needLogin() default true;
}
复制代码

创建一个拦截器,继承HandlerInterceptorAdapter,在preHandle方法中做具体的操作。

每次请求都会根据key查询redis获取其访问次数,如果没有则是第一次访问,往redis中插入数据,过期时间是注解中的属性值seconds。

@Component
public class RepeatRequestInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private RedisUtils redisUtils;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //判断请求是否属于方法的请求
        if(handler instanceof HandlerMethod){

            HandlerMethod hm = (HandlerMethod) handler;

            //获取方法中的注解,看是否有该注解
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if(accessLimit == null){
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean login = accessLimit.needLogin();
            String key = request.getRequestURI();
            //如果需要登录
            if(login){
                //获取登录的session进行判断
                //.....
                key+=""+"1";  //这里假设用户是1,项目中是动态获取的userId
            }

            //从redis中获取用户访问的次数(redis中保存的key保存30秒,redisUtils使用的单位是秒)
            Integer count = redisUtils.get(key,Integer.class,seconds);
            if(count == null){
                //第一次访问 key保存5秒 5秒后再访问key已过期,会重新生成
                redisUtils.set(key,1,5);
            }else if(count < maxCount){
                //加1
                redisUtils.increment(key);
            }else{
                //超出访问次数
                render(response);
                return false;
            }
        }
        return true;
    }
    private void render(HttpServletResponse response)throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        OutputStream out = response.getOutputStream();
        String str  = "{'mdg':'请求次数太多了'}";
        out.write(str.getBytes("UTF-8"));
        out.flush();
        out.close();
    }
}
复制代码

附上redisUtils代码

@Component
public class RedisUtils {
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
    @Autowired
    private ValueOperations<String, String> valueOperations;
    /**
     * 不设置过期时长
     */
    public final static long NOT_EXPIRE = -1;

    /**
     * 设置key value
     */
    public void set(String key, Object value){
        set(key, value, CacheConstant.DEFAULT_EXPIRE);
    }

    public void set(String key, Object value, long expire){
        valueOperations.set(key, toJson(value));
        if(expire != NOT_EXPIRE){
            redisTemplate.expire(key, expire, TimeUnit.SECONDS);
        }
    }

    /**
     * 根据key获得对象
     */
    public <T> T get(String key, Class<T> clazz) {
        return get(key, clazz, NOT_EXPIRE);
    }

    public <T> T get(String key, Class<T> clazz, long expire) {
        String value = valueOperations.get(key);
        if(expire != NOT_EXPIRE){
            redisTemplate.expire(key, expire, TimeUnit.SECONDS);
        }
        return value == null ? null : fromJson(value, clazz);
    }

    /**
     * 根据key获得value
     */
    public String get(String key) {
        return get(key, NOT_EXPIRE);
    }
    public String get(String key, long expire) {
        String value = valueOperations.get(key);
        if(expire != NOT_EXPIRE){
            redisTemplate.expire(key, expire, TimeUnit.SECONDS);
        }
        return value;
    }

    public void increment(String key) {
        redisTemplate.opsForValue().increment(key,1L);
    }
}
复制代码

通过javaconfig形式把Interceptor注册到容器中

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Autowired
    private RepeatRequestInterceptor interceptor;

   
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(interceptor);
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS")
                .allowCredentials(true).maxAge(3600);
    }
}
复制代码

接口调用

编写一个测试类,写一个测试接口,如下

@RestController
@RequestMapping("/bid-applicant")
public class BidApplicantController extends BaseController {

    @AccessLimit(seconds=30, maxCount=5, needLogin=true)
    @RequestMapping("/fangshua")
    public ResponseInfo fangshua(){
        return ResponseInfo.ok("请求成功");
    }
复制代码

测试

我在第一次请求后的30秒内连续访问超过5次请求,会输出我的报错信息,工作中可以跳转自己的错误页面。

感谢阅读。

作者:Javaer2Leader
原文链接:https://juejin.cn/post/7109096387886710815
 

您可能感兴趣的与本文相关的镜像

HunyuanVideo-Foley

HunyuanVideo-Foley

语音合成

HunyuanVideo-Foley是由腾讯混元2025年8月28日宣布开源端到端视频音效生成模型,用户只需输入视频和文字,就能为视频匹配电影级音效

Java接口策略(自定义注解实现)
single_cong的博客
06-01 7216
目的 短信发送及短信验证码校验接口 一方面防止用户循环调用短信验证码 另一方面防止用户循环调用测短信验证码(一般短信验证码为6位纯数字,一秒钟上百次调用,如果不做限制很快就能试出来了) 很多接口需要防止前端重复调用 误操作多次点击,不属于攻击类型,正常用户经常会触发的,例如信息发布可能前端限制未做好,误点击了多次,这种情况实际上应该只记录第一次的,后续的不应该继续操作数据库。 极端的情况 可能很多接口一天或者很长时间只能调用一次(类似签到?个人想法是尽量不让数据到了数据库层再抛异常) 解决措施 利
美团面试:接口恶意,怎么办?
java小白翻身
05-26 1615
1.大部分情况,token校验+拦截器已然足够,敏感接口再加限流,这也是大部分企业的做法。2.简单场景用TimeStamp就行了,对于大部分机器人恶意访问,他是不可能去看你代码的。3.尽量不要封禁IP,防止误伤,因为很多小区住户往往是局域网,很多人就是共用一个IP的。4.更狠的方法是,模仿那种”请选择图片中的汽车“的做法,反向薅羊毛,嗯,大家应该明白其中的意思。
java自定义注解防止接口重复调用
qq_36280130的博客
04-21 1092
最近项目中碰到一些因为网络延迟及系统响应速度变慢造成的请求重复提交问题,印象中之前有看到过类似的注解,但是忘了是哪个注解,也没搜到,所以自己写一个。
如何实现接口
lssffy的博客
10-16 1990
接口是一种防止接口被大量恶意请求攻击的策略。它通过限制请求的频率、数量以及用户行为来避免服务器因过载而宕机。防止恶意用户攻击:避免恶意用户通过高频请求消耗服务器资源。防止爬虫攻击:避免未经授权的爬虫对网站数据进行抓取。保证合法用户体验:确保接口的稳定性,保证合法用户的正常访问。接口是一个非常重要的系统保护手段,可以有效防止恶意请求和异常访问,保障服务器的稳定性。
java 注解实现接口
qq_46107623的博客
08-30 1255
java 注解实现接口 首先定义一个注解 @Retention(RetentionPolicy.RUNTIME) @Target(METHOD) @Documented public @interface RateLimit { int cycle() default 5; int number() default 1; String msg() default "重复请求"; } 定义一个的业务类,使用因为要使用接口的注入方式,所以首先定义一个RateLimitSe
接口怎么实现?8 年 Java 开发:从被欠费到分层御(附可复用代码)
Minoz_wl的博客
09-01 954
六年前我负责的短信接口,被黑产用脚本了 30 万条,月底收到运营商账单时,财务拿着发票找到我:“这超出预算 10 倍,你得给个说法”。我盯着日志里 “1 分钟内同一 IP 请求 200 次” 的记录,才意识到:**接口不是 “可选功能”,而是业务上线前必须焊死的安全阀**。
【微信小程序登录安全加固】:攻击与用户数据保护策略
本文系统地介绍了微信小程序登录机制的基础知识,并深入探讨了和攻击范策略,如强化认证机制、恶意行为检测与护以及安全传输与数据加密。此外,本文还着重分析了用户数据保护与隐私安全的重要性,并提出了一...
API接口如何攻击?小凡工具抵御重放与篡改的4种加固手段
一个看似简单的接口,可能就是撬动整个系统安全线的支点。 想象这样一个场景:某金融App的一次支付请求被截获,攻击者无需破解密码或入侵服务器,只需原封不动地重复发送这条请求,就能让你的账户在几分钟内被扣...
ThinkPad笔记本BIOS强实战:成功案例与经验教训,轻松解决问题
文章通过具体案例分析,诊断常见与罕见问题,并提供复杂环境下的写挑战解决方案。最后,本文总结了BIOS强的风险管理和最佳实践,强调了性能优化和安全加固的重要性。 # 关键字 BIOS强;硬件工具;软件准备;...
Java后台接口裸奔的解决方案
03-19
Java后台接口裸奔的解决方案,简单易懂,让你的接口不再裸奔
优雅的接口处理方式,看这一篇就够了
小学生波波
09-22 4683
优雅的接口处理方式
springboot接口实现
Terry Tian' coding Life
11-26 1769
本文主要介绍一种通过实现自定义注解,实现一种比较通用的接口方式
实现接口,最强方案在这!
01-29 1026
优雅的实现接口,最强方案来了~!
教你如何实现接口
m0_71777195的博客
08-11 486
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口的一种处理方式,通过在一定时间内限制同一用户对同一个接口的请求次数,其目的是为了防止恶意访问导致服务器和数据库的压力增大,也可以防止用户重复提交。
Java实现接口
weixin_43515983的博客
11-04 1260
实现接口
优雅的实现接口,最强方案来了~!
竹林幽深
01-30 231
本文为描述通过Interceptor以及Redis实现接口访问Demo这里会通过逐步找问题,逐步去完善的形式展示咋说呢就是通过自定义注解中定义 x 秒内 y 次访问次数,禁用时长为 z 秒自定义注解 + 在需要进行处理的各个接口方法上在拦截器中通过反射获取到各个接口中的x, y, z值即可达到我们想要的接口自由目的下面做个实现声明自定义注解Controlller中方法中使用Interceptor处逻辑修改(最重要是通过反射判断此接口是否需要进行处理,以及获取到x, y, z的值)
接口办法
weixin_30648963的博客
05-11 1119
为什么会有人要接口? 1、牟利 黄牛在 12306 网上抢票再倒卖。 2、恶意攻击竞争对手 如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。 3、压测 用 apache bench 做压力测试。 4、当程序员无聊的时候 什么是接口的""字? 1、次数 多 2、频率 频繁,可能 1 秒上千次 3、用户身份难以识别 可能会在的过程中随时换浏览器或者 ip 判断接口是否...
【SpringBoot】Spring Boot 如何实现接口
低调做人,低调编码,神码都是浮云
06-19 2862
SpringBoot接口
路由器系统
最新发布
09-29
<think>嗯,用户之前详细询问了智能路由器的功能特点,现在突然转向路由器系统的操作细节,这个转向很有意思。可能是在了解智能路由器优势后,想通过机进一步释放硬件潜力?毕竟引用[2]提到机能让普通路由器媲美企业级设备,这对技术爱好者很有吸引力。 用户提供的四个引用很有价值:引用[1]提到机工具简化流程,引用[2]强调硬件改造可行性,引用[3][4]则具体涉及OpenWrt机操作和救砖警告。需要特别注意用户隐去的风险诉求——引用[3]的“变砖”警告和引用[4]的固件选择说明暗示用户更关注安全性而非纯技术流程。 准备分三个层面回应:方法上强调关键步骤(固件选择/不死引导/安全入),注意事项突出变砖预和数据备份,最后补充机价值。对于引用[1]的breed工具,要重点说明其“双保险”机制如何降低风险;硬件改造部分则引用[2]的RAM/Flash升级案例,但需提醒普通用户谨慎操作。 突然想到用户可能是极客群体——他们往往更关注引用[3]的OpenFlow协议这类高阶功能,所以最后补充应用场景时特意列入网络实验和边缘计算。生成的问题也侧重实战:变砖处理放在第一顺位,性能对比则呼应之前智能路由器的AI优化讨论。 对了,所有命令和路径名称都用代码块标注,像引用[4]的192.168.1.1这种IP必须明确格式。数学公式倒是不需要,但机耗时估算这类数据得用$T \propto \frac{F}{B}$ 的格式呈现才专业。 </think>以下是路由器系统的详细方法和注意事项,结合引用内容及技术实践整理: --- ### **一、机方法** #### **1. 准备工作** - **固件选择** 根据路由器型号下载匹配的第三方固件(如OpenWrt、DD-WRT),优先选用`factory.bin`(首次机)或`sysupgrade.bin`(升级现有第三方系统)[^3][^4]。 - **工具准备** 使用机工具(如`Breed Web控制台助手v5.9`)简化流程[^1],或通过路由器后台(192.168.1.1)的固件更新页面操作[^4]。 - **备份原固件** 在管理界面导出原厂固件和配置文件,防止机失败后无法恢复。 #### **2. 机流程** ```markdown 1. **连接路由器** - 电脑通过网线直连路由器LAN口,关闭火墙和杀毒软件。 2. **进入机模式** - 断电后长按Reset键通电,待指示灯闪烁后进入恢复模式(部分型号需用TTL线)[^3]。 3. **上传固件** - 浏览器访问 `192.168.1.1` 进入Breed Web或原厂恢复界面; - 选择下载的固件文件(如`openwrt-factory.bin`)并上传[^3][^4]。 4. **等待写完成** - 进度条走完前 **严禁断电**,成功后路由器自动重启(耗时约3-5分钟)。 ``` --- ### **二、关键注意事项** #### **1. 风险规避** - **变砖预** - 机中途断电必变砖!需准备TTL串口线或编程器救砖[^3]。 - 确保固件与硬件型号**完全匹配**(如MT7621芯片需选对应版本)。 - **分区保留** - OpenWrt时保留`Bootloader`分区,避免覆盖不死引导(如Breed)[^1]。 #### **2. 硬件限制** - **硬件改造需求** - 部分老旧路由器需升级Flash(存储芯片)或RAM才能运行大型固件(如OpenWrt)[^2]。 - 加装USB接口需焊接和驱动支持,非专业用户慎操作[^2]。 #### **3. 软件兼容性** - **固件校验** - 验证固件MD5值,防止文件损坏导致机失败。 - **配置重置** - 机后首次启动需 **恢复出厂设置**,避免新旧配置冲突。 --- ### **三、机后的进阶操作** 1. **安装插件** OpenWrt通过`opkg`命令安装插件(如广告过滤`adblock`、NAS服务): ```bash opkg update && opkg install luci-app-adblock ``` 2. **网络协议配置** 支持入OpenFlow 1.3协议实现SDN功能(需Linux系统基础)[^3]。 3. **性能调优** 超频CPU、启用硬件NAT加速提升吞吐量($$ \text{实际带宽} = \frac{\text{数据包量}}{\text{处理延迟}} $$)。 --- ### **四、推荐工具与资源** | 工具类型 | 推荐选项 | 用途 | |----------------|-------------------------|--------------------------| | **不死引导** | Breed Web控制台 | 变砖/多固件支持 [^1] | | **固件源** | OpenWrt官网 | 稳定版固件下载 | | **救砖工具** | CH341A编程器+夹子 | 修复Flash芯片变砖 | > ⚠️ **警示**:机可能失去官方保修,且操作失误会导致硬件损坏!新手建议从支持免拆机的型号(如小米AC2100)入手。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值