如何防止接口被恶意请求？添加时间戳检验？

原创

已于 2023-08-01 10:51:19 修改 · 1.2k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#java #redis

于 2023-08-01 10:41:30 首次发布

文章介绍了如何通过Spring拦截器配合Redis实现接口防刷功能，使用时间戳校验位并设置访问次数限制，当达到上限时阻止恶意请求。同时，文章详细展示了如何添加注解和自定义拦截器的工作原理。

添加时间戳校验位

比如给客户端提供一个timestamp参数，值是13位的毫秒级时间戳，可以在第12位或者13位做一个校验位，通过一定的算法给其他12位的值做一个校验。

举例：现在实际时间是 1684059940123，我把前12位通过算法算出来校验位的值是9，参数则把最后一位改成9，即1684059940129，值传到服务端后通过前十二位也可以算出来值，来判断这个时间戳是不是合法的。

生成校验位的算法要确保前后端一致，比如校验位的值都取倒数第二位的值（可过滤掉90%）恶意请求。

添加拦截器防止接口恶意狂刷

其实也就是spring拦截器来实现。在需要防刷的方法上，加上防刷的注解，拦截器拦截这些注解的方法后，进行接口存储到redis中。当用户多次请求时，我们可以累积他的请求次数，达到了上限，我们就可以给他提示错误信息。

添加注解

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface AccessLimit {

int seconds();

int maxCount();

}

自定义拦截器

public class SessionInterceptor extends HandlerInterceptorAdapter {

private static final Logger logger = LoggerFactory.getLogger(SessionInterceptor.class);

@Autowired

private UserAuthService userAuthService;

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不平衡的叉叉树

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

AI原生应用安全防护：如何防止模型被恶意复制？

2501_92132293的博客

07-29

1199

模型恶意复制（Model Piracy）指未经授权的第三方通过逆向工程、数据泄露、API滥用等手段，获取模型的结构、参数或推理逻辑，从而复制出功能等效的模型。边缘设备破解：攻击者拆解智能摄像头中的目标检测模型，提取权重文件；API逆向：通过大量调用模型API，用生成的输入输出对训练“影子模型”（Shadow Model）；内部泄露：员工违规下载模型文件，出售给竞争对手；对抗性提取：利用对抗样本攻击，迫使模型暴露内部特征。AI原生应用的安全防护是一个多层次、多维度的系统工程，需要结合模型水印模型加密。

怎么防止短信系统被恶意攻击调用？

最新发布

baidu_39212797的博客

10-27

1343

在签名中加入时间戳（Timestamp）和随机数（Nonce），服务端校验请求的时效性（如5分钟内有效）并记录已使用的随机数，防止同一请求被重复发送。：限制同一手机号在单位时间（如1分钟，1小时，24小时）内接收验证码的次数。：当检测到用户账户在陌生设备或地点登录并触发短信验证时，在短信内容中加入提醒文字，如“如非本人操作，请忽略本短信”。：对行为可疑（如频率略高）的号码/IP，触发更严格的验证（如语音验证码或人工审核）。：在服务商的管理后台，根据自身业务情况，配置相应的频率限制和告警策略。

参与评论您还未登录，请先登录后发表或查看评论

接口统一加时间戳（接口避免缓存）

MYG_G

09-07

6974

接口统一加时间戳（接口避免缓存）如何获取时间戳 let time = new Date().getTime(); 1.axios 如果你们请求接口用的是axios的话，可以用路由拦截器来统一加，在config.url后面统一加时间戳就可以了借鉴于：https://www.kancloud.cn/yunye/axios/234845！！！强烈推荐看一下，很清晰！！！我们在请求数据的时候，会出现几种情况，判断权限或者loading的显隐。这些在每一个请求都会做的事情，我们可以封装一个service的请求

计算16进制校验位要按字节进行“异或”后，取非

08-31

校验码= （【数据包编号】＋【时间戳】＋【功能代码】＋【网关代码】＋【数据长度】＋【数据信息】6 部分内容异或后，取非）

时间戳校验并发问题

北方的木的博客

12-24

2121

使用场景：作用于并发校验前端js根据主键请求后台获取到数据的修改时间，跟js获取列表的时间进行对比 appService.GetModifiedTime(oid).then(function (result) {//后端请求得到的时间 var time = e.selected[0].ModifiedTime;//前端列表的时间这个时候可以调试得出时间格式不对 time = time.getFullYear() + '/' + (time.getMonth() + 1) + '/

校验时间有效期，接口设置时间戳有效时间

MyNameIsXX的专栏

05-22

829

校验有效期，接口设置时间戳有效时间

接口服务数据被劫包，如何防止数据恶意提交

qq_36414647的博客

07-03

2546

1、使用session验证身份（查看id与session中的id是否一致）2、对id进行加密处理（如果id被恶意修改，篡改者不知道加密方法则服务端可查证）3、设置提交的间隔时间限制来防止重复提交4、在session中设置提交标志（每一次服务器将表单呈现给客户端前设置一个标志，然后客户端提交表单时再验证该标志）...

如何防止客户端恶意修改时间戳？

05-10

如何防止自动刷新机制被恶意利用？

05-03

好的，我需要帮助用户安全地实现浏览器端Token的自动刷新机制，同时防止被恶意利用。首先，我得回忆一下Token验证的相关知识，以及常见的攻击方式，比如重放攻击、XSS、CSRF等。用户提到的引用中提到了重放攻击和...

利用时间戳校验防止爬虫滥用接口

shyの个人笔记

02-24

1504

利用时间戳校验防止爬虫滥用接口

timestamp:验证值是否为时间戳

06-23

时间戳 验证值是否为时间戳。安装 $ npm install validate.io-timestamp 要在浏览器中使用，请使用。用法 var isTimestamp = require ( 'validate.io-timestamp' ) ; isTimestamp( 值 ) 验证value是否为时间戳。 var value = Date . now ( ) ; var bool = isTimestamp ( value ) ; // returns true 一个有效的timestamp可以是milliseconds或seconds 。笔记要验证的value应该是numeric 。对于任何其他类型，该方法返回false 。例子 var isTimestamp = require ( 'validate.io-timestamp' ) ; consol

网络请求图片，接口加个时间戳的参数，保证每次都能请求新图片

Vanpoe的博客

06-12

5805

问题：我们在网络请求图片的时候有时候请求来的图片不一定是最新的图片，有可能是后台返回来的缓存图片，有时候明明输入图片验证码是正确的，但是输入完验证时偶尔提示图片验证码错误。解决方法：所以如果我们在请求接口加多个时间戳的参数，就能避免这种问题的出现。直接上代码 - (void) getPictVerifyCode { dispatch_async(di

接口服务数据被劫包，如何防止数据恶意提交（道乐）

weixin_30404405的博客

04-24

602

恶意提交攻击 1.拦截且修改：客户端发送到服务端接口的请求被第三方拦截，然后修改数据，再提交给客户端执行例如：客户端发送了将username重置为“小明”的请求第三方拦截后修改为username重置为"小红" 然后提交给服务器执行服务器认证了用户身份后（cookie或token都是客户端发出的，因此能通过认证）那么客户端的username就被修改为“小红” ...

phpthink6 前后端验证时间戳和签名认证

qq_62874327的博客

02-14

1150

后端中间件验证 class Safe { /** * 处理请求 * * @param \think\Request $request * @param \Closure $next * @return Response */ public function handle($request, \Closure $next) { try { // #

校验时间戳和签名

热门推荐

慕容的博客

08-06

1万+

1.获取url链接里面的时间戳和签名 // 时间戳 String timestamp = qpMap.get("timestamp"); // 签名 String sign = qpMap.get("sign"); 2.进行校验 // 校验签名前后过期时间 ...

前端接口请求，时间戳

weixin_56075623的博客

08-08

559

解释：通过在请求中添加时间戳参数，可以使每个请求看起来都是唯一的，防止浏览器或代理服务器缓存响应。解释：这种方法实现起来非常简单，只需在每个请求中添加当前时间戳即可，不需要修改后端逻辑或数据库。解释：每次请求都被视为独立请求，服务器无法利用缓存机制，可能导致服务器负载增加。示例：在每个 API 调用前都需要添加时间戳参数，增加了编码和维护的工作量。示例：对于需要防止重放攻击的场景（如支付请求），仅添加时间戳是不够的。解释：需要在每个请求前生成时间戳，增加了客户端的代码复杂度。

开放API 防止恶意调用纪实

凌飞安

06-19

793

开放API 防止恶意调用纪实简介：我们公司网站属于知识产权+电商性质的平台，平时用户量并不是特别大。一开始我们并没有做太多的网站安全验证工作，只是简单的实现了IP黑白名单的控制。 2019年04月份开始，系统监控数据显示，平台有几个API被高频率恶意调用。刚开始发现是我们采取的应对措施是：将该请求IP加入到黑名单，禁止该用户继续访问我们的系统。半天之后我们发现用户更换了一个ip又继续刷。很明显，...

如何防止公开接口被恶意调用？

weixin_33738555的博客

07-06

2648

今年组长给了几个任务，其中有两个是关于对外接口的安全控制：前端验证组件利用浏览器Js加密的技术访问接口，防止恶意用户越过浏览器直接访问我们的接口。人机识别在接口端再做一层检测，区分调用者来自普通用户还是工具模拟，进一步防止恶意打接口的行为。主要研究的方向在于如何提取用户行为，因为工具模拟是没有一般的用户行为的。可能的实现方...

API接口的安全设计验证：ticket，签名，时间戳，2024年最新已拿offer

2401_83974199的博客

04-13

577

1.用户成功登陆站点后，服务器会返回一个token，用户的任何操作都必须带了这个参数，可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign，作为参数一起发送给服务端，服务端在用同样的方法生成sign进行检查是否被篡改。3.但这依然存在问题，可能会被进行恶意无限制访问，这时我们需要引入一个时间戳参数，如果超时即是无效的。4.服务端需要对token，签名，时间戳进行验证，只有token有效，时间戳未超时，签名有效才能被放行。