API接口防刷实现(重复调用)

已于 2024-07-18 17:49:01 修改
阅读量482 收藏 2
点赞数 6
分类专栏: Java 文章标签: java spring boot
于 2024-07-18 17:46:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_48812875/article/details/140528943
版权

API接口 - 限制重复调用(防刷)

在这里插入图片描述

环境

JDK 8
SpringBoot

代码实现

实现方式

定义注解,通过切面的方式,检测重复调用。

定义注解

import cn.nhd.fsl.entity.system.Prevent;
import cn.nhd.fsl.enums.PreventStrategyEnums;
import cn.nhd.fsl.exception.FslServiceException;
import com.alibaba.fastjson.JSON;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import java.lang.reflect.Method;
import java.util.Base64;
import java.util.concurrent.TimeUnit;


/**
 * 防刷切面实现类
 */
@Aspect
@Component
public class PreventAop {

    private static Logger log = LoggerFactory.getLogger(PreventAop.class);

    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    private final String redisKey = "fsl:system:resubmit:";

    /**
     * 切入点
     */
    @Pointcut("@annotation(cn.nhd.fsl.entity.system.Prevent)")
    public void pointcut() {
    }




    /**
     * 处理前
     *
     * @return
     */
    @Before("pointcut()")
    public void joinPoint(JoinPoint joinPoint) throws Exception {
        String requestStr = JSON.toJSONString(joinPoint.getArgs()[0]);
        if (StringUtils.isEmpty(requestStr) || requestStr.equalsIgnoreCase("{}")) {
            throw new FslServiceException("[防刷]入参不允许为空");
        }

        MethodSignature methodSignature = (MethodSignature) joinPoint.getSignature();
        Method method = joinPoint.getTarget().getClass().getMethod(methodSignature.getName(),
                methodSignature.getParameterTypes());

        Prevent preventAnnotation = method.getAnnotation(Prevent.class);
        String methodFullName = method.getDeclaringClass().getName() + method.getName();

        entrance(preventAnnotation, requestStr,methodFullName);
        return;
    }




    /**
     * 入口
     *
     * @param prevent
     * @param requestStr
     */
    private void entrance(Prevent prevent, String requestStr,String methodFullName) throws Exception {
        PreventStrategyEnums strategy = prevent.strategy();
        switch (strategy) {
            case DEFAULT:
                defaultHandle(requestStr, prevent,methodFullName);
                break;
            default:
                throw new FslServiceException("无效的策略");
        }
    }




    /**
     * 默认处理方式
     *
     * @param requestStr
     * @param prevent
     */
    private void defaultHandle(String requestStr, Prevent prevent,String methodFullName) throws Exception {
        String base64Str = toBase64String(requestStr);
        long expire = Long.parseLong(prevent.value());


        String resp = redisTemplate.opsForValue().get(redisKey+methodFullName+base64Str);
        if (StringUtils.isEmpty(resp)) {
            redisTemplate.opsForValue().set(redisKey+methodFullName+base64Str, requestStr, expire, TimeUnit.SECONDS);
        } else {
            String message = !StringUtils.isEmpty(prevent.message()) ? prevent.message() :
                    expire + "秒内不允许重复请求";
            throw new FslServiceException(message);
        }
    }




    /**
     * 对象转换为base64字符串
     *
     * @param obj 对象值
     * @return base64字符串
     */
    private String toBase64String(String obj) throws Exception {
        if (StringUtils.isEmpty(obj)) {
            return null;
        }
        Base64.Encoder encoder = Base64.getEncoder();
        byte[] bytes = obj.getBytes("UTF-8");
        return encoder.encodeToString(bytes);
    }
}

import cn.nhd.fsl.enums.PreventStrategyEnums;

import java.lang.annotation.*;


/**
 * 接口防刷注解
 * 使用:
 * 在相应需要防刷的方法上加上
 * 该注解,即可
 *
 * @author: min.wang
 */
@Documented
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface Prevent {


    /**
     * 限制的时间值(秒)
     *
     * @return
     */
    String value() default "60";


    /**
     * 提示
     */
    String message() default "";


    /**
     * 策略
     *
     * @return
     */
    PreventStrategyEnums strategy() default PreventStrategyEnums.DEFAULT;
}

注解应用

@Prevent(message = "10秒内不允许重复调多次", value = "10")

在这里插入图片描述

API请求重复攻击
21空间的博客
07-10 1705
API 设计中,请求重复攻击是确保系统安全性和稳定性的关键部分。以下是一些有效的技术和策略来API 请求重复攻击。
API接口重复提交
热门推荐
douxingpeng1的博客
08-15 1万+
重复提交的几种情况 1、利用JavaScript止表单重复提交 按钮禁用 2、利用Session令牌止表单重复提交 具体的做法:在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token。然后将Token发送到客户端的Form表单中,在Form表单中使用隐藏域来存储这个Token,表单提交的时候连同这个Toke.........
ASP.NET WebApi服务接口如何重复请求实现HTTP幂等性()
weixin_33824363的博客
09-22 2126
一、背景描述与课程介绍 明人不说暗话,跟着阿笨一起玩WebApi。在我们平时开发项目中可能会出现下面这些情况; 1)、由于用户误操作,多次点击网页表单提交按钮。由于网速等原因造成页面卡顿,用户重复新提交页面。黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效止表单重复提交有一...
记一次api接口出现重复请求的处理过程
最新发布
huang_xiaoen的博客
04-11 1235
背景在学校的Java项目中,开发了一个文本聊天的api接口,由于当时考虑欠缺,加上调用方没有做限制,导致出现了一个用户在一秒内重复发出了多次请求的情况,从而出现了脏数据。既然是接口重复请求了,那么就需要限制一个用户在一秒内只能发起一次请求。这时候就会引出一个概念【接口的幂等性幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次。现实的场景如下1. ​​​​:用户支付时因网络延迟重复调用支付接口,若未做幂等,可能生成两笔扣款记录。
前端接口重复请求实现方案
程序员成长指北
03-09 292
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群前言前段时间老板心血来潮,要我们前端组对整个的项目都做一下接口重复请求的处理(似乎是有用户通过一些快速点击薅到了一些优惠券啥的)。。。听到这个需求,第一反应就是,止薅羊毛最保险的方案不还是在服务端加限制吗?前端加限制能够拦截的毕竟有限。可老板就是执意要前端搞一下子,行吧,搞就搞吧,you ...
API 接口接口请求次数限制)
仰望-星空~~的博客
08-19 1936
创建自定义的注解请求限制的自定义注解@Target 注解可修饰的对象范围,ElementType.METHOD 作用于方法,ElementType.TYPE 作用于类(ElementType)取值有:1.CONSTRUCTOR:用于描述构造器2.FIELD:用于描述域3.LOCAL_VARIABLE:用于描述局部变量4.METHOD:用于描述方法5.PACKAGE:用于描述包6.PARAMETER:用于描述参数7.TYPE:用于描述类、接口(包括注解类型) 或enum声明。
API项目6:接口调用次数的统计 && 网关
Gus10124的博客
10-21 2351
本项目是一个面向开发者的 API 平台,提供 API 接口供开发者调用。用户通过注册登录,可以开通接口调用权限,并可以浏览和调用接口。每次调用都会进行统计,用户可以根据统计数据进行分析和优化。管理员可以发布接口、下线接口、接入接口,并可视化接口调用情况和数据。本项目侧重于后端,涉及多种编程技巧和架构设计层面的知识。后端项目现在有 backend、interface,因为平台可以接入任何人开发的接口,不一定是同一个团队或者公司内部的项目。
python实现API调用
m0_67402970的博客
08-02 1万+
其实最近发现博客很久没更新,可能还是因为自己懒以及能力有限不知道该写什么,但上半年工作以及生活中发现,写作其实是一个很好的东西,可以把自己的想法记录下来,虽然可能很不成熟,但是其实对于自己的成长是很有帮助,写多了也就熟了,而且现在快餐式的互联网,让我们中断了很多思考,尤其是工作后发现,平常还是要多思考,多写作,也可以沉淀自己,后续会慢慢更新博客,但是频率可能不是很高,但是会慢慢多加入自己的思考和逻辑以及一些归纳,因为发现之前的博客太不成熟了哈哈哈。httpshttpshttps。...
代码优化消除重复代码+API接口+异步调用
11-17
利用工厂模式 + 模板方法模式,消除 if…else 和重复代码 代码重复的3种处理方法1-用工厂模式 + 模板方法模式 利用注解 + 反射消除重复代码
高并发之API接口,分布式,限流
KHOST的博客
04-03 2279
在开发分布式高并发系统时有三把利器用来保护系统:缓存、降级、限流 缓存 缓存的目的是提升系统访问速度和增大系统处理容量 降级 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解决后再打开 限流 限流的目的是通过对并发访问/请求进行限速,或者对一个时间窗口内的请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待、降级等处理 问题描述 1、某天A君...
post 篡改_安全|API接口安全性设计(篡改和重复调用
weixin_42604188的博客
01-17 992
API接口的安全性主要是为了保证数据不会被篡改和重复调用实现方案主要围绕Token、时间戳和Sign三个机制展开设计。1. Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效时间。服务端接收到请求后进行Token验证,如果T...
自定义注解解决API接口幂等设计止表单重复提交(生成token存放到redis中)
07-28
自定义封装注解类,(生成token存放到redis中)通过注解的方式解决API接口幂等设计止表单重复提交
php页面重复提交方法总结
12-19
1、提交按钮置disabled       当用户提交后,立即把按钮置为不可用状态。这种用js来实现。          提交前复制代码 代码如下:        $(“#submit”).attr(‘disabled’,’true’);         $(“#submit”).val(“正在提交,请稍等”);         …………………………………………………………………………     执行后,把按钮置为原来状态 复制代码 代码如下:      $(‘#submit ‘).removeAttr(‘disabled’);      $(“#submit “).val(“确定提交”);2、
API接口设计:参数篡改+二次请求
yuechuzhixing的博客
04-26 2610
API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址和请求参数 为了止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制 1.首先: 需要采用https方式对第三方提供接口,数据的加密传输会更安全,即便是被破解,也需要耗费更多时间 2.其次:需要有安全的后台验证机制【本文重点】,达到参数篡改+二次请求 主要御措施可以归纳为两点: 对请求的合法性进行校验 对请求的数据进行校验 止重放攻击必须要保证请求仅一次有效 需要通过在请求体中携带当
接口恶意多次请求的操作
xiexinxx0225的博客
06-13 2573
SpringBoot 接口恶意多次请求的操作
API重复请求(集群环境)
Jason Blog
04-08 1369
背景 先了解一下需求详情:在项目的开发中,安全这块是必不可少的,今天的问题是:API重复请求。为什么要API重复请求呢?就是为了止一些恶意的请求实现思路 基于Spring Boot 2.x 自定义注解,用来标记是哪些API是需要监控是否重复请求 通过Spring AOP来切入到Controller层,进行监控 检验重复请求的Key:Token + Servlet...
接口如何重复请求
weixin_42601702的博客
01-05 1187
重复请求,有几种常见的方法: 在服务端设置请求的唯一标识,如果有重复请求,则忽略后续的请求。 在服务端设置对于每个请求的处理时间,如果请求的处理时间过短,则忽略后续的请求。 在客户端设置请求的唯一标识,服务端记录所有已处理的请求的唯一标识,如果有重复请求,则忽略后续的请求。 在客户端设置时间戳,服务端记录所有已处理的请求的时间戳,如果有重复请求,则忽略后续的请求。 哪种方法...
php接口止多次请求,如何限制客户端频繁的调用接口
weixin_30698949的博客
03-17 2884
在服务器端有个http接口,客户端通过发起post或get请求调用接口获取某些数据。为了限制客户端太频繁的发起请求,我要求至少60秒以上才能发起一次。现在我的做法是记录请求发起的时间,然后比较当次调用和上次调用的时间,小于60秒就返回某个状态码。请问除了这种方式,其他是否还有更简便的方式?例如设置服务器的Apache,求指导,谢谢。回复讨论(解决方案)没有比这个在简单的了因为你不可能只对一个用...
API网关】如何API相同的数据被提交多次
RestCloud 技术支持的博客
06-13 820
通过网关对API重复提交的规则,如物品的ID不可重复,则可配置该规则,当识别到ID被重复提交,返回提示信息。在后端API不具备幂等性的情况下,如何止相同的数据被提交多次?1.打开API网关平台,安全设置,重复提交配置。3.把应用的API添加进规则。2.添加重复提交规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清汉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值