限制后端接口的访问次数

最新推荐文章于 2024-05-15 16:10:34 发布
转载 最新推荐文章于 2024-05-15 16:10:34 发布 · 3k 阅读 · 9 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/lhc-hhh/p/13176505.html
文章标签:

#java

本文介绍了一种基于Redis的验证码发送频率限制策略,包括获取用户真实IP地址的方法、Redis配置及操作实现,以及前端按钮禁用倒计时逻辑,确保系统的稳定性和安全性。

情景:发送手机验证码或者邮箱验证码时限制规则:一分钟只可以发一次,一天内也有次数限制。以防止恶意访问,降低服务器压力。

解决思路:获取用户ip地址,判断此ip是否首次访问,如果是首次访问,在redis创建minKey,dayKey.并设置minKey过期60s,dayKey为86400s,也就是24H。首次访问则次数加一。超过1次或一天超过限制次数时,禁止访问。

1.获取用户真实ip地址。

 

/**
 * 自定义访问对象工具类
 * 获取对象的IP地址等信息 
 */
public class GetIpAddressUtil {
    /**
     * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址,
     * 
     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪个才是真正的用户端的真实IP呢?
     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。
     * 
     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130,
     * 192.168.1.100
     * 用户真实IP为: 192.168.1.110
     * @param request
     * @return
     */
    public static String getIpInfo(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("Proxy-Client-IP");
            }
            if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("WL-Proxy-Client-IP");
            }
            if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("HTTP_CLIENT_IP");
            }
            if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("HTTP_X_FORWARDED_FOR");
            }
            if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getRemoteAddr();
            }
        } else if (ip.length() > 15) {
            String[] ips = ip.split(",");
            for (int index = 0; index < ips.length; index++) {
                String strIp = (String) ips[index];
                if (!("unknown".equalsIgnoreCase(strIp))) {
                    ip = strIp;
                    break;
                }
            }
        }
        return ip;
    }
}

 

2.Redis配置

ublic class MyJedisPool {
    private final static Logger logger = LoggerFactory.getLogger(MyJedisPool.class);
    private static JedisPool jedisPool = null;
    //redis服务配置
      public static final String Redis_IP = "192.168.xx.xx";
      public static final int Redis_PORT =6379;
      public static final String Redis_jedisUser ="";//密码
      public static final int ExpireSeconds = 3600;
    //静态代码初始化池配置
    static {
        try{
            //创建jedis池配置实例
            JedisPoolConfig config = new JedisPoolConfig();
            //设置池配置项值
            config.setMaxTotal(20);
            config.setMaxIdle(10);
            config.setMaxWaitMillis(3000);
            config.setTestOnBorrow(true);
            config.setTestOnReturn(false);
            //根据配置实例化jedis池
            //jedisPool = new JedisPool(config,Redis_IP,Redis_PORT,1000*2,Redis_jedisUser);
            jedisPool = new JedisPool(config,SystemFileConfig.get("Redis_IP"),
                    Integer.parseInt(SystemFileConfig.get("Redis_PORT")),
                    1000*2,
                    SystemFileConfig.get("Redis_jedisUser"),
                    Integer.parseInt(SystemFileConfig.get("Redis_database")));     
        }catch (Exception e) {
            logger.info("redis连接池异常",e);
        }
    } 
    /**获得jedis对象*/
    public static Jedis getJedisObject(){
        return jedisPool.getResource();
    }
    
    /**归还jedis对象*/
    public static void returnJedisOjbect(Jedis jedis){
        if (jedis != null) {
            jedis.close();
        }
    }
}

 

3.操作redis完成次数限制

String userIpAddr = GetIpAddressUtil.getIpInfo(request);
Jedis jedis = MyJedisPool.getJedisObject();//获取jedis链接对象
boolean flag = true;               
flag = limitSendCount(userIpAddr,jedis);
System.out.println(flag); //根据flag判断是否超出限制
if (jedis != null) {
    jedis.close();  //用完关闭jedis资源
}                        
//判断是否超出限制
 public boolean limitSendCount(String ip, Jedis jedis) {     
            String value = jedis.get(ip+"MinLimte");
            String dayValue = jedis.get(ip+"DayLimte");
            if(value==null){
                jedis.set(ip+"MinLimte", "1");
                jedis.expire(ip+"MinLimte", 60);//设置过期时间60秒
                if(dayValue==null) {
                    jedis.set(ip+"DayLimte", "1");
                    jedis.expire(ip+"DayLimte", 86400);//设置过期时间24hours
                }else {
                    jedis.incr(ip+"DayLimte");  //加一次
                    int parseIntDay = Integer.parseInt(dayValue);
                    if(parseIntDay>20){
                        System.out.println("访问受限!!!!");
                        return false;
                    }
                }
                return true;
            }else{
                int parseInt = Integer.parseInt(value);
                int parseIntDay = Integer.parseInt(dayValue);
                60秒内访问超过1次,或者一天超过20次,就禁止访问
                if(parseInt>=1 || parseIntDay>20){
                    System.out.println("访问受限!!!!");
                    return false;
                }
                jedis.incr(ip+"MinLimte");
                jedis.incr(ip+"DayLimte");
            }            
            return true;
        }

4.以上后端验证次数已完成。如果前后不分离,前端需要在点击按钮后禁止点击,按钮显示倒计时直至为0s方可再次点击时,前端js如下:

//发送成功后60秒内不可再次发送
var id = 60;
//定时执行
var timeing = setInterval(function() {
    id = id - 1;
    $('#sendVcode').html(id + 's');
    }, 1000);
//延迟执行
window.setTimeout(function() {
   //结束定时,恢复按钮可用
   clearInterval(timeing);
   $('#sendVcode').html('点击发送Send').removeAttr("disabled");
   $("#sendVcode").removeClass("sendclass2");//设置自己的按钮样式
   $("#sendVcode").addClass("sendclass1");
}, 60000);

参考链接 :https://www.cnblogs.com/lhc-hhh/p/13176505.html

使用 Flask-Limiter 和 Nginx 实现接口访问次数限制
吃面不喝汤的博客
09-18 1331
通过 Nginx 的反向代理配置,我们可以将客户端的真实 IP 传递给 Flask 应用。结合,可以基于客户端的真实 IP 地址,实现针对敏感接口访问频率限制。这样不仅可以提升 Web 应用的安全性,还能有效防止滥用行为。Nginx 配置: 使用和X-Real-IP头部传递客户端 IP,避免使用172.17.0.1等内网 IP。: 结合 Redis 实现基于 IP 地址的访问次数限制。客户端真实 IP 获取: 通过函数确保 Flask 获取到真实的客户端 IP。
AOP技术限制后端接口调用次数
守正出奇
01-02 963
AOP技术限制后端接口调用次数背景一、整体方案二、AOP1.反射解析属性2.SpEL解析属性3.下载接口4.预览接口总结 背景 最近工作上在安全管控的需求,需要限制一些接口的调用次数,一般可以采用两种方案,一种是将在后端使用AOP进行限制,另外一种是在后端开一个http接口,前端每次调用的时候,先调用安全管控的接口接口返回成功的情况下,才进行实际业务操作。本文主要总结使用AOP限制次数踩的一些坑 一、整体方案 整体方案如上图所示,使用AOP技术,在原有的基础上,增加规则判断。 二、AOP 1.反射
后台限制请求访问次数的实现
傲视苍穹
10-21 2340
目录 背景 ExpiringMap 限制请求次数应用示例 pom依赖 注解类定义 切面定义 Controler示例 示例展现情况 背景 最近搞接口服务器,对兄弟团队提供数据接口,由于对接生产数据,担心小伙伴把我的数据库玩死,于是想着搞个请求限制吧,规定时间限制你的访问次数~~ 大致设计了下思路就是,同一客户端请求同一资源时在规定时间给你的请求次数限制,即标识你同一客户端且是同一资源的请求时,就给你个请求次数,当在规定时间里请求次数超过了我的阈值,我就给提示:“等回再来拿数据,你来
Java后端限制频繁请求、重复提交
chengmin123456789的博客
08-13 1万+
在前端按钮连续点击多次,甚至于重复提交数据,为了解决这个问题,下面介绍了一种简易的解决方法: 一、写限制注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; /** * @Author Minco * @Date 16:04
接口访问次数_spring boot 流量控制 控制用户访问api的次数
weixin_29414105的博客
01-13 1269
FlowControl(流量控制)FlowControl想要解决的问题是控制api访问次数,防止恶意调用api。支持分布式应用的使用。spring boot 支持flowcontrol-spring-boot-starter原理拦截链接并计数,如果超过次数,返回错误信息,没有超过次数则通过。使用了分布式锁来控制准确的拦截。将访问数据保存到redis来保证分布式下的运用。分布式下运用注意要redis...
根据IP限制指定时间内访问接口次数
Muscleheng的博客
06-12 7806
在网上看见有人问一个问题:想限制一下某个接口在一分钟之内只能被同一个ip请求指定次数。 方法比较多,这里就用Redis一个简单的限制。 大致逻辑: 把请求的ip作为key,请求次数作为value存储在Redis里面,第一次请求value为1,以后每次请求加1,设置过期时间60s, 每次请求都重置过期时间,每次请求过来都需要判断value是否大于指定次数即可; springBoot ...
Java接口限制请求次数
柠檬味的cat的博客
05-15 1945
Java接口限制请求次数
SpringBoot使用AOP控制接口访问次数以及接口幂等性
weixin_45850829的博客
07-05 1294
最近跟朋友聊起接口优化…于是学习总结,记录下来。
springboot记录api的访问次数
03-12
在Spring Boot框架中,记录API的访问次数是一个常见的需求,特别是在监控系统性能、分析用户行为或进行日志分析时。本项目提供了一个基础的实现,能够开始计数、停止计数以及清空计数,同时仅保留最近一分钟的访问...
HTML5调用redis,接口访问频率被限制 redis怎么实现接口调用频率限制
weixin_42423852的博客
06-04 485
百度api翻译访问频率受限 如何降低您的调用频率。"首先脚本需要有执行权限:chmod u x file.sh;执行脚本有三种方法:1. ./file.sh:特点:开启bash子进程来执行,也就是开启额外的进程来进行,不影响原进程的变量、配置等2. bash file.sh特点:和./file.sh相同3. source file.sh 或者 . file.s为什么会出现OKEXApi调用接口报超...
php 访问人数控制_PHP接口访问频率限制
weixin_33060753的博客
03-09 566
如果要限制某个接口一分钟之内只能访问10次。有很多人都会想当然的通过redis设置一个过期时间为1分钟的key,那么这样会存在一个问题。在59秒的时候接口访问了10次,然后key马上就过期了,下一秒访问的时候又可以访问10次,这样根本就没有达到1分钟之内访问10次的需求。直接上代码functionapiVisitLimit($userId){$key="api:limit:userId:{...
API调用次数限制实现
热门推荐
chenglinhust的专栏
05-21 3万+
API调用次数限制实现 参考资料:     1. https://zhuanlan.zhihu.com/p/20872901?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io Token BucketRedis IncrRedis EvalBetter Rate Limiting Wit
限制接口一定时间内调用次数,超过次数就延时后调用
05-20 1663
@Documented @Target(ElementType.METHOD) // 说明该注解只能放在方法上面 @Retention(RetentionPolicy.RUNTIME) public @interface LimitRequest { long time() default 60; // 限制时间 单位:秒 int count() default 1; // 允许请求次数 } @Aspect @Component public class LimitRequestAspe
API接口-假定时间内限制访问次数-限频率
牧风人的博客
11-15 3479
API接口-假定时间内限制访问次数-限频率 在实际项目中,往往需要对一些公开的接口进行限制在一定时间内的访问次数,避免他人的恶意攻击占用系统资源。 方案:设置拦截器,每次访问记录ip地址+访问URL作为key,使用redis按key查询是否有访问记录。如果未有访问redis记录,redis记录这次访问,如果redis查询到有访问次数,比较系统限制次数是否大于现在访问次数,大于则放行,小于等于则拒绝。(redis存储带过期时间,过期后自动清除) String key = IpU
Android防止接口或者按钮 多次点击
m0_51011495的博客
03-02 367
Android防止接口或者按钮 多次点击 // 两次点击按钮接口之间的点击间隔不能少于1000毫秒 private static final int MIN_CLICK_DELAY_TIME = 1000; private static long lastClickTime; public static boolean isFastClick() { boolean flag = false; long curClickTime = System.currentTimeMillis(); if ((cur
接口返回的数据很多时如何限制
Mqyyy的博客
03-01 1192
接口返回的数据很多时如何限制的最终实现方法:无论有多少条数据,最初只显示八条,点击加载更多后,每次多展示五条数据
egg-后端权限控制(限制接口访问
lihui61357457的博客
09-27 1322
在app目录下创建middleware/auth.ts。下面进行获得全部用户的信息的权限限制。用户获取接口为:/users。
PHP禁止外网访问本站接口(防跨域防盗链)
美奇软件开发工作室
07-04 1872
为什么网站要防跨域防盗链? 随着前后端分离技术的兴起,很多手机端网站、小程序、APP访问后台数据都是调用API接口,很多接口都是内部使用的,而不是对外开放,如果没有好防护措施,你家的接口很可能被其他人盗用,接口被盗用的的话,一方面会增加系统的负担,另一方面是数据被黑客利用,对企业造成一定的损失。本文着重介绍两种php防跨域防盗链的方法,供大家参考! 一、禁止非本站域名访问 <?php $refer = $_SERVER['HTTP_REFERER']; if($refer){
后端接口安全:IP 限制实现方法
最新发布
11-14
后端接口通过 IP 限制实现安全可采用以下方法: - **限制访问次数**:获取用户 IP 地址,判断该 IP 是否首次访问。若为首次访问,在 Redis 中创建 `minKey` 和 `dayKey`,分别设置 `minKey` 过期时间为 60 秒,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值