秒杀功能(7)安全优化一

最新推荐文章于 2022-08-26 22:14:47 发布
原创 最新推荐文章于 2022-08-26 22:14:47 发布 · 520 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

安全优化

从本篇开始讲秒杀系统的安全优化。主要分为三大块:

  1. 秒杀接口地址隐藏
  2. 数学公式验证码
  3. 接口限流防刷

秒杀接口地址隐藏

每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。

该操作:可以为了防止,恶意用户登陆之后,获取token的情况下,通过不断调用秒杀地址接口,来达到刷单的恶意请求。

每次的url都不一样,只有真正点击秒杀按钮,才会根据商品和用户id生成对应的秒杀接口地址。

但是,这种情况仍然不能解决 利用 按键精灵或者 机器人 频繁点击按钮的操作,为了降低点击按钮的次数,以及高并发下,防止多个用户在同一时间内,并发出大量请求,加入数学公式图形验证码等防高并发优化。

思路:秒杀开始之前,先去请求接口获取秒杀地址。
流程:

  1. 在用户点击“立即秒杀”时先由前端发出请求到/miaosah/path路径;
  2. 添加生成地址的接口(/miaosah/path),后台通过UUID和随机值并用MD5加密生成真正的秒杀地址,并且在redis中存入用户id/商品id和秒杀地址的键值对(为了之后的验证使用,Redis的有效期设置为60s,因为跳转到秒杀页面非常快);
  3. do_miaosha接口改造,带上PathVariable参数,秒杀接口收到请求,先验证PathVariable和缓存中存的是否一致,若一致才进入秒杀环节。

MiaoshaController中改动的相关代码如下:

//第四版,秒杀接口地址隐藏
    @RequestMapping(value = "/{path}/do_miaosha", method = RequestMethod.POST)
    @ResponseBody
    public Result<Integer> miaosha(Model model, @RequestParam("goodsId") long goodsId, HttpServletResponse response,
                                   @CookieValue(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String cookieToken,
                                   @RequestParam(value = MiaoshaUserService.COOKI_NAME_TOKEN,required = false) String paramToken,
                                   @PathVariable("path") String path) {
   
   
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
   
   
            return Result.error
最低0.47元/天 解锁文章

200万优质内容无限畅学
Serena0814
关注
电商秒杀系统优化。涉及SpringBoot+MyBatis框架、Redis、RabbitMQ、接口优化安全优化等.zip
09-17
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
Java 语言编写的商品秒杀功能脚本
最新发布
08-03
Java语言编写的商品秒杀功能脚本是种基于Java技术的应用程序,主要用于电商网站或在线平台上实现快速响应的抢购活动。秒杀活动通常要求系统具备高性能和高并发处理能力,以确保在短时间内处理大量用户的请求并完成...
Java秒杀实战 (七)安全优化
插上小翅膀的程序猿Wings
07-24 892
、隐藏秒杀地址 思路:秒杀开始前,先去请求接口获取秒杀地址 1.接口改造,带上PathVariable参数 2.添加生成地址的接口 3.秒杀收到请求,先验证PathVariable   二、数学公式验证码 1.添加生产验证码接口 2.在获取秒杀路径的时候,验证验证码 3.ScriptEngine使用   package com.wings.seckill.controll...
gulimall——秒杀安全优化(三)
qq_38246328的博客
05-04 314
1.优化思路 (1)秒杀接口地址隐藏。防止有人恶意秒杀 (2)数学公式验证码。也能防止恶意秒杀。并且能够减轻秒杀系统的瞬时流量,减轻并发量。 (3)接口限流防刷。限制个用户1分钟之内只能访问某个接口10次。 2.秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。) 实现思路: 在进行秒杀之前,去后端获取个动态的秒杀地址path(服务
秒杀项目 安全优化笔记
小白鼠丶
02-11 368
秒杀接口地址隐藏 防机器人 写个接口以获取秒杀地址,接口中使用如用户ID+商品ID为key,value为UUID字符串设置到redis中,以便在第2步校验url是否正确,并返回UUID生成的字符串 拿到第1步生成的UUID字符串发送给真正的秒杀接口,校验UUID是否正确,若正确则继续秒杀接口逻辑 数学公式图形验证码 分散用户请求,防机器人 接口限流防刷 段时间内访问接口...
秒杀项目 (7安全优化
初心魏的博客
09-16 1042
安全优化 1.1 思路 秒杀接口地址隐藏 数学公式验证码 接口限流防刷 1.2 隐藏秒杀地址原因 秒杀未开始前,如果抓包先获取path,在将path拼到秒杀地址上,也可以秒杀到商品(ps:不加验证码的情况下) 二、接口地址隐藏 2.1 秒杀之前,先去接口请求获取秒杀地址 思路 将生成的path存到redis中 @RequestMapping(value = "/path",method...
秒杀项目07-安全优化
qq_43478625的博客
10-25 3568
秒杀项目07-安全优化1. 秒杀接口地址隐藏1.1 接口改造,带上PathVariable参数1.2 添加生成地址的接口1.3 秒杀收到请求,先验证PathVariable2. 数学公式验证码3. 接口限流防刷 1. 秒杀接口地址隐藏 思路: 秒杀开始之前,先去请求接口获取秒杀地址 1.1 接口改造,带上PathVariable参数 1.2 添加生成地址的接口 1.3 秒杀收到请求,先验证PathVariable 2. 数学公式验证码 3. 接口限流防刷 ...
秒杀系统:第4章 秒杀功能开发及管理后台
01-08
在本章中,我们将深入探讨如何利用Java技术进行秒杀功能的开发以及构建相应的管理后台。 首先,我们需要理解秒杀系统的架构设计。秒杀活动通常涉及到高并发的场景,因此系统的稳定性、响应速度和数据致性至关重要...
秒杀安全
架构师小秘圈
02-05 991
简介  我们通常衡量个Web系统的吞吐率的指标是QPS(Query Per Second,每秒处理请求数),解决每秒数万次的高并发场景,这个指标非常关键。举个例子,我们假设处理个业务请求平均响应时间为100ms,同时,系统内有20台Web服务器,配置MaxClients为500个(表示服务器的最大连接数目)。那么,我们的Web系统的理论峰值QPS为(理想化的计算方式):20*500/0.1 =
秒杀功能(8)安全优化
Serena0814的博客
05-13 292
数学公式验证码 这部分主要讲解的是在获取秒杀地址前增加验证码的功能,作用有两点: 防止机器恶意刷秒杀按钮 分散用户请求,减少服务器并发处理负担 代码流程为: 前端在渲染页面时,若是可以秒杀的阶段,则要调用后端生成数字验证码; 后端生成验证码的图片后,把答案存在了redis中(设置时间是300s),把图片返回到前端; 用户需要在页面先填写验证码,才能点击“立即秒杀按钮”。在点击立即秒杀按钮后,...
秒杀项目安全性处理总结
weixin_43214023的博客
03-19 1577
1.登录验证过程 1.前端js代码对输入框的数据进行校验 2.完成校验的password在前端使用js函数进行第次md5,加密,通过ajax,把数据封装为loginVo传给后端。 3.后端拿到分装为loginVo的对象,对他进行参数的验证,加了个自定义的校验器 4.经过验证之后,调用登录的方法,拿出loginVo中的手机号,去查找redis中是否有缓存 5.redis中有缓存则直接拿出来缓存的user对象 6.把传入的密码加上从取出的对象那里拿到的数据库salt进行第二次md5,对照取出的对
软件架构-解密电商系统-秒杀安全优化与限流防刷
IT架构圈博客
10-25 306
本次主要说说秒杀系统安全相关的优化,比方说秒杀系统的地址如何的隐藏,不让别人刷我的秒杀下单的接口,加验证码,接口做个限流。本次要说的重点。 ()极端优化 极端情况下, 用户已经下单成功,但还没有在缓存中插入,这时库存已经为了0,返回给用户已经抢完了,但是实际上用户已经下单成功了,在订单列表中,可以看到。时间差的问题。 解决方案:如果通过redis接口的检验后,放入异步消息队列中,也就是基本放入消息队列的情况下,不出意外都可以可以下单的。后端队列慢慢处理。在加入队列增加个排队的标记miaos.
【SpringBoot商城秒杀系统项目总结25】 项目的亮点和难点及问题解决(源码地址)
热门推荐
pitt1997的博客
05-31 2万+
【商城限时秒杀系统总结】 在高并发情况下的秒杀优化,我们知道当并发数达到定量的时候,会对数据库服务器带来很大的压力,那么如何缓解这些压力以及提高并发的QPS就是整个项目的解决重点,也是我们优化系统的目标。 项目的亮点与难点 1.使用分布式Seesion,可以实现让多台服务器同时可以响应。 2.使用redis做缓存提高访问速度和并发量,减少数据库压力,利用内存标记减少redis的访问。 3.使用页...
电商课题:对付秒杀器等恶意访问行为的简单梳理
weixin_34234823的博客
09-18 205
201208 @郑昀 -秒杀器爱好者的技能点- OCR识别 掌握般的验证码图片识别OCR技术,多数局限于英文和数字字符的OCR识别,随着背景干扰加大,识别率急剧降低 表单提交 提前准备好表单 自动填写表单,自动提交 自定义快捷键 题库 针对特定电商,提前收集秒杀问题的题库 录制回放 利用“按键精灵”软件录制鼠标键盘动作并进行回放 ...
秒杀项目总结
kkh01421的博客
08-26 1016
使用SpringBoot完成的商城订单秒杀模块,主要使用Redis和RabbitMQ进行优化操作,对于高并发场景下学习有所帮助。
【商城秒杀项目】-- 项目总结
weixin_42687829的博客
02-27 1万+
最近对商城秒杀项目所用到的技术进行了剖析,技术点还是挺多的,本篇博客就来对商城秒杀项目进行个总结与整理 项目相关博客汇总 1、【商城秒杀项目】-- 概况 2、【商城秒杀项目】-- 对返回json结果的封装、通用缓存Key的设计与封装 3、【商城秒杀项目】-- 登录时使用两次MD5加密 4、【商城秒杀项目】-- 使用JSR303进行参数校验、全局异常处理 5、【商城秒杀项目】-- 分布...
java秒杀高并发------安全优化 验证码 秒杀接口地址隐藏 接口限流防刷
Recar的博客
05-08 3794
秒杀接口地址隐藏 思路:秒杀开始之前,先去请求接口获取秒杀地址 1.接口改造,带上 PathVariable参数 2.添加接口生成地址的接口 3.秒杀手动请求,先验证PathVariable 随机生成个字符串,作为地址加在url上,然后生成的时候 存入 redis缓存中,根据前端请求的url获取path。 判断与缓存中的字符串是否致,致就认为对的。就正常 藐视,否则失败。 ...
简单秒杀功能实现思路
sinat_27143551的博客
02-23 2431
秒杀步骤 * 1、发送获取验证码请求,后台生成验证码并写入redis * 2、用户填写验证码,发送检验验证码请求,后台校验成功后创建并返回秒杀专属路径 * 3、发送秒杀请求,发送商品id和path,后台验证path,验证是否已经秒杀成功(防止重复下单),并预减库存(内存操作) * 4、发送mq消息 * 5、监听mq秒杀消息,校验库存,判断是否已经秒杀成功 * 6、减库存,创建订单,将秒杀成功信息...
淘宝秒杀助手II3.7.0:自动下单与购物车极速功能优化
### 知识点:淘宝秒杀助手II 3.7.0的功能解读 #### 1. 自动保持登录状态 淘宝秒杀助手II 3.7.0 版本新增了自动保持登录状态的功能。这功能可以使得用户的登录状态在理想情况下保持大约天的时间。这种功能对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值