如何避免用户频繁调用接口与接口安全

最新推荐文章于 2025-07-16 23:26:34 发布
原创 最新推荐文章于 2025-07-16 23:26:34 发布 · 2w 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口防刷 #接口安全 #ip限定

本文介绍了一种防止短信接口被恶意调用的方法,包括使用图片验证码、限制接口调用频率、签名验证及token验证等手段,并详细解释了利用Redis记录和控制用户调用次数的具体实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有个短信接口给用户注册时发送验证码的,然后现在发现有人每次用不同ip 不同号码进行恶意调用,现在接口被调爆,如何解决这个问题呢。(现在的黑科技不只是有你想象中的那么简单的)

为了避免接口防刷,我们也有很多的防护措施

1,最简单有效的防护就是图片验证码,采用点触验证,验证滑动或者是第三方验证码服务,普通的图片验证码很

容易被破解

2,频率,或者叫接口防刷,通过用户具有唯一性的ip验证用户的身份,模拟一个场景,每次用户调用接口,将此用户的

ip进行记录,在有效的时间之内,用户每调用一次接口,给调用的次数+1,当超过(次数根据自己的时间情况进行定义)

当达到指定的次数时,将调用这个接口的用户ip加入黑名单中,当锁定(锁定时间根据实际情况进行定义)之后移除在

黑名单中的用户ip,进行解锁,但是每次用户在短时间内调用接口,实时记录的ip,次数,时间存到什么地方呢?

我们又很多种选择,数据库,文件,memcache, redis. 对于数据库或者是文件的操作,是吧数据存入在硬盘里,memcache或者是

redis是一种基于内存的分布式缓存,数据存到数据库,随着调用接口的频繁不仅仅会加大服务器的压力而且速度远远补不上存在内

存中的,剩下的两种缓存操作的我们选择了redis,因为redis支持的数据类型更多,支持永久存储,因为redis有部分是存储在了硬

盘上,有关redis于memcache的区别详解:https://www.cnblogs.com/JavaBlackHole/p/7726195.html

有关接口防刷的具体操作:

首先redis的扩展与服务都需要启动:https://blog.youkuaiyun.com/li_lening/article/details/81227423

public function checkRequest($ip){
        #一分钟接口调用只能10次
        $redis= new \Redis();
        $redis->open('xxx',6379);//服务器连接的Ip与端口号
        $redis->auth('xxx');//redis服务的密码
        $redis->select(1);//选择连接的redis,默认redis的库有16个
//        $redis->flushAll();exit;//清空redis的所有库
        $lock_time=$redis->zScore('user_list',$ip);//返回有序集中key中成员member的score
        if(time()-$lock_time<3000){
            return 1;//在黑名单中
        }else{
            $redis->zRem('user_list',$ip);//redis中zRem命令用于移除有序集合中的一个或者是多个成员,不存在的成员将被忽略,当key存在但是不是有序集合类型是,返回一个错误
        }
        #记录访问次数
        $ip_value=$redis->get($ip);//get命令用于获取指定的keyz值,如果key值不存在返回null
        if(!$ip_value){
            #设置key自增
            $redis->incr($ip);//将key中存储的数字值增1
            #设置过期时间为3000秒
            $redis->expire($ip,3000);//给key值设置生存时间
        }else{
            $redis->incr($ip);
        }
        #集合里边的元素不会重复 字符串
        #把ip当做key 存入redis 存5分钟
        if($ip_value>10){
            #使用有序集合
            $redis->zAdd('user_list',time(),$ip);//命令用于将一个或者是多个于是怒以及分数值加入到有序集合中
            return 2;//调用接口频繁
        }
    }

3, 签名,API接口启用签名策略,签名可以保障请求URL的完整安全,签名匹配再继续下一步操作,

4,token,对于重要的API接口,生成token值,做验证

接口安全:

应对接口安全,我们可以对数据进行加密,不明文传输数据,可以选择对称加密(DES 2DES)或者是非对称加密(RSA),

虽然说两者都是加密,但是又很大的区别,对称加密的速度快,但是相对非对称加密来说是不安全的,一旦一方泄露密钥,所有

的数据将全部泄露,对于加密的长度来说非对称加密有长度限制,密钥的长度是1024,值能加密117个字符,如果长度过长,还

需要分段加密,分段解密,效率更低,但是相对来说比较安全。

非对称加密如何实现:https://blog.youkuaiyun.com/li_lening/article/details/80830762

希望这些内容可以对你们有帮助

接口性能优化宝典:解决性能瓶颈的策略实践
张彦峰的博客
12-01 173万+
本文深入探讨了提升接口性能的多种策略,涵盖了数据库优化、远程调用、异步处理、事务优化、缓存机制、分库分表等方面的技术。通过直面常见性能瓶颈,本文详细讲解了如何优化 SQL 执行效率、避免重复调用、减少事务复杂性、提高并发度,并提供了实际应用的最佳实践和技术方案。此外,文章还结合具体的案例,阐述了如何通过合理选择和设计优化方案,解决常见的性能问题,帮助开发者构建高效、可扩展的系统架构。
避免一个方法在一定时间内被调用多次
05-25
假如一个方法在1s内被调用了100次,现在想让这个方法,在一定时间内(假如 1s ),只调用一次,该方法调用的参数是100次调用中的最后一次的参数
前端接口止重复请求实现方案
程序员成长指北
03-09 302
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群前言前段时间老板心血来潮,要我们前端组对整个的项目都做一下接口止重复请求的处理(似乎是有用户通过一些快速点击薅到了一些优惠券啥的)。。。听到这个需求,第一反应就是,止薅羊毛最保险的方案不还是在服务端加限制吗?前端加限制能够拦截的毕竟有限。可老板就是执意要前端搞一下子,行吧,搞就搞吧,you ...
Java中,使用token+Redis实现接口幂等性,止订单重复提交
最新发布
Xmi2599的博客
07-16 779
幂等一般指的是方法被多次重复执行的时候,所产生的影响和第一次执行的影响是相同的。
如何接口被重复调用,接口被第三方调用
阿发狗伪原创
10-29 1686
(2)用户登陆后生成临时token,存到服务器,并返回客户端,客户端下次请求时把此token传到服务器,验证token是否有效,有效就登陆成功,并生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。(3)两层token:一般第一次用账号密码登录服务器会返回两个token,时效长短不一样,短的时效过了之后,发送时效长的token重新获取一个短时效,如果都过期,那么就需要重新登录了。1. 加密,时间戳,每个包要有包序号,每次同向加1,收到重复序号认为是攻击,可以抵御重放攻击。
止重复点击调取接口
lxk116688的博客
05-09 1896
场景 在项目中遇到过这样一个场景,点击提交表单的按钮之后,发现没有任何反应,随后又点击了一次,造成数据的重复提交,在数据库中出现了两条一模一样的数据。 原因 由于axios提交数据是异步提交,点击提交按钮是向后端异步请求,发送请求后后端返回数据需要时间处理,如果第一次点击的请求尚未完成,又接二连三地提交了几次,同时后面发送的请求都被后台处理了,这种情况如果是读取数据不会有太大影响,但是涉及到数据提交保存或者提交之后多表数据处理就麻烦了,而且此类现象造成的数据都不正常,所以此种情况务必要避免。 解决办法
实现接口重复访问-Java-SpringBoot
qq_45822726的博客
02-22 1798
在上面的代码中,我们假设从请求头中获取了userId,然后将其接口路径拼接成Redis中的键,用于存储该用户上次访问该接口的时间。在preHandle方法中,首先从Redis中获取该用户上次访问该接口的时间,如果时间间隔小于5分钟,则返回错误信息;否则,将当前时间存储到Redis中,并放行该请求。在拦截器中可以从Redis中获取该用户上次访问该接口的时间,并计算当前时间的时间间隔。在上面的代码中,我们假设需要限制访问时间间隔接口都以“api”为前缀,因此只需要对以“api”开头的请求进行拦截即可。
微信native支付接口调用代码示例+企业微信消息推送接口调用示例
08-09
- 企业微信消息推送接口有频率限制,避免频繁调用导致账号被封禁。 - 企业微信消息的接收者可以是用户、部门或者整个企业,需要根据实际需求设置。 - 调用接口时,务必处理好错误情况,如网络异常、超时、权限...
DELPHI 11调用JAVA 接口
07-03
Delphi 11作为一款强大的Windows桌面应用程序开发工具,有时需要Java环境进行交互,这通常涉及到跨语言调用接口。本篇将详细介绍如何在Delphi 11中调用Java接口,并传递参数及接收返回结果。 1. **JNI(Java ...
C#实现快递api接口调用方法
09-03
此外,可能还需要考虑性能优化,如缓存最近查询的结果,避免频繁调用API。 总的来说,C#实现快递API接口调用涉及的主要知识点包括: 1. .NET的数据序列化和反序列化,如使用`DataContract`和`DataMember`特性。 2....
基于Java语言的http接口快速调用设计源码工具包
10-01
基于Java语言的http接口快速调用设计源码工具包,提供了一套完备的解决方案,它不仅能够简化HTTP接口调用过程,还能够帮助开发者快速构建稳定的网络通信模块,这对于需要频繁进行接口调用和服务集成的项目来说,...
接口如何重复请求
weixin_42601702的博客
01-05 1197
止重复请求,有几种常见的方法: 在服务端设置请求的唯一标识,如果有重复的请求,则忽略后续的请求。 在服务端设置对于每个请求的处理时间,如果请求的处理时间过短,则忽略后续的请求。 在客户端设置请求的唯一标识,服务端记录所有已处理的请求的唯一标识,如果有重复的请求,则忽略后续的请求。 在客户端设置时间戳,服务端记录所有已处理的请求的时间戳,如果有重复的请求,则忽略后续的请求。 哪种方法...
通过http cache来避免频繁调用接口
orichisonic的专栏
03-21 1732
try { WebClient client = new WebClient(); client.Encoding = Encoding.UTF8; string datas; string GetZCS = HttpRuntime.Cache.
用户频繁调用的几种方法
柚子哥哥i的博客
07-25 4663
用户频繁调用,可以有以下几种方法来限制。 1. 程序限制 2. 通过linux iptables限制 3. nginx限制 1. 程序限制 在客户端每次请求时,都记录下客户端的ip,如果一个ip才一段时间里频繁调用了多次,就将此IP假如黑名单,在下次调用时判断此ip是否在黑名单中,如果在则直接返回404(可通过header返回)。 ...
安全|API接口安全性设计(篡改和重复调用
qq_19316267的博客
04-15 835
API接口安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、时间戳和Sign三个机制展开设计。 1. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效时间。服务端接收到请求后进行Token验证,...
aop+redis锁 实现简单的频繁接口请求
wangjw.bug
06-24 2013
引入aop及redis <!-- aop --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> <!-- redis --> <dependen.
springboot接口恶意调用多次
sskk1118的博客
12-31 3431
原理: 利用拦截器来实现,定义注解,在需要的方法上加上该注解,通过拦截器拦截这些注解的方法,当用户多次请求时,我们可以累积他的请求次数,请求次数存储到redis中,达到了上限,我们就可以给他提示信息。 总结:采用注解方式加拦截器,结合redis来存储请求次数,可以灵活配置同一用户在规定的时间内请求同一接口最大次数。 代码: 1、定义注解 import java.lang.annotation.Retention; import java.lang.annotation.Target; impor
如何接口重复请求
热门推荐
weixin_33757911的博客
06-11 1万+
如何接口重复请求 问题 最近遇到一个接口重复请求导致数据异常的bug,场景是这样的: 在一个通知模块,老师发送通知给家长,家长点开通知后客户端需要调用一个ack接口告诉服务器该家长已经读取该通知,并在notify_read表中插入该家长的信息,内容大概是(notify_id, member_id),并把通知表notify的read_num字段+1。当遇到网络问题时,客户端会多次请求该接口。 i...
几行代码,优雅的避免接口重复请求!同事都说好!
石小石Orz的博客
07-10 1025
我们日常开发中,经常会遇到点击一个按钮或者进行搜索时,请求接口的需求。如果我们不做优化,连续点击按钮或者进行搜索,接口会重复请求。首先,这会导致性能浪费!最重要的,如果接口响应比较慢,此时,我们在做其他操作会有一系列bug!那么,我们该如何规避这种问题呢?
pc端频繁调用接口是不是增加流量
05-09
<think>好的,用户问的是PC端频繁调用接口是否会导致网络流量增加。我需要先理解这个问题的核心,然后结合已有的引用内容来回答。 首先,根据引用[1]提到APP对服务器端要求严格,接口需要高效,数据不能多传,否则影响传输效率和用户流量。虽然这是针对移动端的,但PC端频繁调用接口同样可能增加流量,特别是如果每次传输的数据量大,累积起来流量消耗会明显。 然后引用[2]提到本地缓存可以减少对分布式缓存的请求次数,提升性能。这点同样适用于PC端,如果频繁调用接口而没有缓存,每次都需要从服务器获取数据,自然会增加流量。所以缓存策略在这里很重要。 接下来需要考虑用户可能没有直接提到的点,比如接口设计的优化和数据压缩。比如,是否使用分页或增量更新来减少每次传输的数据量。另外,数据格式的选择,比如JSON和Protobuf的效率差异,也会影响流量。 还要考虑网络请求本身的开销,比如HTTP头信息每次都会传输,如果请求频繁,这部分开销累积起来也不小。合并请求或者使用WebSocket这类长连接可能减少这种开销。 用户可能真正关心的是如何在高频调用接口的同时控制流量,而不仅仅是是否增加流量。所以回答时需要给出解决方案,比如优化接口设计、使用缓存、压缩数据等,帮助用户在实际应用中减少流量消耗。 另外,用户是PC端,可能认为PC的网络环境更好,但频繁调用仍然会有影响,尤其是在带宽有限或者按流量计费的情况下。需要强调即使带宽大,不合理的设计仍会导致不必要的流量浪费。 最后,生成的相关问题需要引导用户进一步优化,比如如何评估接口性能、具体缓存策略等,帮助他们深入解决问题。</think>PC端频繁调用接口对网络流量的影响可从以下几个层面分析: 1. **数据传输基础原理** - 每个接口请求至少包含$header$和$body$两部分数据,其中$header$大小约$0.5-2KB$(含cookie等信息) - 响应数据大小取决于接口设计,如未优化接口单次响应可能达$10-100KB$ - 流量计算公式:$$总流量 = (请求大小 + 响应大小) \times 调用次数$$ 2. **关键影响因素** - **调用频率**:每秒10次调用相比每小时1次,流量差异达$36000$倍 - **数据冗余**:未遵循"按需传输"原则的接口会产生额外流量[^1] - **协议开销**:TCP三次握手(约$60B$)、TLS协商($5-10KB$)等固定开销 - **数据压缩**:启用GZIP压缩可减少$70\%$流量,如$100KB$数据压缩后仅$30KB$ 3. **优化解决方案** - **缓存机制**:对变更频率低的数据采用本地缓存,减少$80\%$重复请求[^2] ```python # 基于LRU的本地缓存示例 from functools import lru_cache @lru_cache(maxsize=512) def get_config_data(key): return db_query(key) ``` - **请求合并**:将多个关联请求合并为单个批量请求 - **增量更新**:使用差分算法,如传输$delta = current - previous$ - **协议优化**:采用二进制协议(如Protobuf)相比JSON可减少$50\%$数据量 4. **性能对比数据** | 场景 | 调用频率 | 单次数据量 | 日流量 | |------|---------|-----------|-------| | 未优化 | 5次/秒 | 50KB | 20.7GB | | 优化后 | 1次/5秒 | 8KB | 138MB | 实际案例:某文件同步工具通过请求合并+增量更新,将日均流量从$15GB$降至$800MB$。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值