SpringBoot+Redis+Lua防止IP重复防刷攻击

最新推荐文章于 2024-12-31 00:17:15 发布
原创 最新推荐文章于 2024-12-31 00:17:15 发布 · 632 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #java

本文介绍了如何利用SpringBoot、Redis和Lua脚本来防止IP重复请求,以防御黑客或恶意用户的防刷攻击。通过限制10秒内同一IP最多访问30次,有效避免系统资源被耗尽。详细阐述了分析过程和具体实现,包括Lua脚本的使用。

SpringBoot+Redis+Lua防止IP重复防刷攻击

分析

黑客或者一些恶意的用户为了攻击网站或者APP,会通过并发用肉机并发或者死循环请求接口,从而导致系统出现宕机。

  • 针对新增数据的接口,会出现大量的重复数据,甚至垃圾数据将数据库和CPU或者内存磁盘耗尽,直到数据库撑爆为止。
  • 针对查询的接口,一般是重点攻击慢查询,比如一个SQL是2s。只要黑客一致攻击,就必然造成系统被拖垮,数据库查询全部被阻塞,连接一直得不到释放造成数据库无法访问。

具体实现

需求:在10秒内,同一IP 127.0.0.1 地址只允许访问30次。

最终效果:

 Long execute = this.stringRedisTemplate.execute(defaultRedisScript, keyList, "30", "10");

分析:keylist = 127.0.0.1 expire 30 incr

  • 分析1:用户ip地址127.0.0.1 访问一次 incr
  • 分析2:用户ip地址127.0.0.1 访问一次 incr
  • 分析3:用户ip地址127.0.0.1 访问一次 incr
  • 分析4:用户ip地址127.0.0.1 访问一次 incr
  • 分析10:用户ip地址127.0.0.1 访问一次 incr

判断当前的次数是否以及达到了10次,如果达到了。就时间当前时间是否已经大于30秒。如果没有大于就不允许访问,否则开始设置过期

新增iplimit.lua文件
-- 为某个接口的请求IP设置计数器,比如:127.0.0.1请求课程接口
-- KEYS[1] = 127.0.0.1 也就是用户的IP
-- ARGV[1] = 过期时间 30m
-- ARGV[2] = 限制的次数
local limitCount = redis.
最低0.47元/天 解锁文章
springboot+redis+lua脚本实现滑动窗口限流
2301_79308687的博客
11-24 1152
为了维护系统稳定性和防止DDoS攻击,需要对系统请求量进行限制。
SpringBoot+Redis+Lua分布式限流
程序员
05-07 1132
Redis支持LUA脚本的主要优势 LUA脚本的融合将使Redis数据库产生更多的使用场景,迸发更多新的优势: 高效性:减少网络开销及时延,多次redis服务器网络请求的操作,使用LUA脚本可以用一个请求完成 数据可靠性:Redis会将整个脚本作为一个整体执行,中间不会被其他命令插入。 复用性:LUA脚本执行后会永久存储在Redis服务器端,其他客户端可以直接复用 可嵌入性:可嵌入JAV...
Springboot过滤器禁止ip频繁访问功能实现
08-19
主要介绍了Springboot过滤器禁止ip频繁访问功能实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx + lua + redis 和限流
热门推荐
fenglvming的专栏
07-22 3万+
和限流的概念是: 的目的是为了防止有些IP来爬去我们的网页,获取我们的价格等信息。不像普通的搜索引擎,这种爬去行为我们经过统计最高每秒300次访问,平均每秒266次访问。 由于我们的网站的页面都在CDN上,导致我们的CDN流量会定时冒尖。为了防止这种情况,打算将网页页面的访问从CDN切回主站。同时开启功能,目前设置一秒200次访问即视为非法, 会阻止10分钟的访问。 限流的目的
redis实现计数器-防止单方法介绍
01-21
最近由于双11要来临,公司需要在接口请求上,做一下并发限制的处理,或者做一个防止单的安全拦截: 比如:一个接口请求,限制每秒请求总数为200次,超过200次就等待,等下一秒,再次请求,这里用到一个redis作为一个计数器的模式来实现。 调用redis的方法: INCR key 将 key 中储存的数字值增一。 如果 key 不存在,那么 key 的值会先被初始化为 0 ,然后再执行 INCR 操作。 如果值包含错误的类型,或字符串类型的值不能表示为数字,那么返回一个错误。 这是一个针对字符串的操作,因为 Redis 没有专用的整数类型,所以 key 内储存的字符串被解释为十进制 64 位
API 接口
小码哥222的博客
02-04 1114
refer:https://www.cnblogs.com/rstyro/articles/10715652.html API 接口 顾名思义,想让某个接口某个人在某段时间内只能请求N次。 在项目中比较常见的问题也有,那就是连点按钮导致请求多次,以前在web端有表单重复提交,可以通过token 来解决。 除了上面的方法外,前后端配合的方法。现在全部由后端来控制。 文章目录API 接口一、API 接口1 原理2 代码实现: 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断
SpringBoot接口
meser88的博客
09-03 649
@Component @Slf4j public class FangshuaInterceptor extends HandlerInterceptorAdapter { @Autowired private RedisCache redisCache; private static final String SMY_SGC_FANGSHUA = "SGC:FANGSHUA:"; private static final String SMY_SGC_FANGSHUA..
SpringBoot + Redis 实现接口限流
wadfdhsajd的博客
06-09 298
Redis 除了做缓存,还能干很多很多事情:分布式锁、限流、处理请求接口幂等性。。。太多太多了首先我们创建一个 Spring Boot 工程,引入 Web 和 Redis 依赖,同时考虑到接口限流一般是通过注解来标记,而注解是通过 AOP 来解析的,所以我们还需要加上 AOP 的依赖,最终的依赖如下: 然后提前准备好一个 Redis 实例,这里我们项目配置好之后,直接配置一下 Redis 的基本信息即可,如下: 限流注解 接下来我们创建一个限流注解,我们将限流分为两种情况:针对这两种情况,我们创建
springboot整合ratelimiter+redis+lua实现限流
好好学习天天向上
07-26 629
springboot+ratelimiter+redis+lua实现单机限流
Springboot项目的接口
JavaPub
02-24 680
今天跟大家分享Springboot项目的接口的实例的知识。 1. Springboot项目的接口的实例 说明:使用了注解的方式进行对接口的功能,非常高大上,本文章仅供参考。 技术要点:springboot的基本知识,redis基本操作,首先是写一个注解类: import java.lang.annotation.Retention; import java.lang.annotation.Target; import static java.lang.annotation.ElementT
springboot 获取访问者的ip地址、访问设备信息、城市地址信息的源码.zip
08-19
文章springboot 获取访问者的ip地址、访问设备信息、城市地址信息的源码 文章springboot 获取访问者的ip地址、访问设备信息、城市地址信息的源码 文章springboot 获取访问者的ip地址、访问设备信息、城市地址信息的源码 文章springboot 获取访问者的ip地址、访问设备信息、城市地址信息的源码 文章springboot 获取访问者的ip地址、访问设备信息、城市地址信息的源码
SpringBoot通过RedisTemplate执行Lua脚本的方法步骤
08-25
主要介绍了SpringBoot通过RedisTemplate执行Lua脚本的方法步骤,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Lua介绍
qq_42508901的博客
01-29 409
Lua介绍: Lua 教程 Lua 是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放, 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 Lua 是巴西里约热内卢天主教大学(Pontifical Catholic University of Rio de Janeiro)里的一个研究小组于 1993 年开发的,该小组成员有:Roberto Ierusalims...
redis和spring boot联合实现登陆次数限制
weixin_45758130的博客
03-11 654
redis和spring boot联合实现登陆次数限制 首先使用cmd命令在cmp管理器中设置redis生存时间 redis-cli.exe -h 127.0.0.1 -p 6379连接. exists mycounter 检查一个key是否存在 set mycounter 99 初始化计数器 get mycounter 获取值 incr mycounter 加一 incrb...
redis+lua实现
henry_huanghao的博客
03-26 773
不多说,直接上代码:/** ,要求同一IP10秒内不能访问超过20次,5分钟不能访问超过150次,超过则就加入黑名单三天时间 */ public static boolean isBrushLua(HttpServletRequest request,ApplicationContext manageContext) { //获取redis连接
蓝易云 - nginx+lua+ngx+redis实现WAF引用web火墙动态封禁访问频繁的IP
高性价比服务器就选:蓝易云
12-31 386
以上就是使用Nginx+Lua+ngx_lua模块+Redis实现Web火墙(WAF)动态封禁频繁访问IP的简要步骤。这种方案可以有效地保护Web服务器免受频繁访问和恶意请求的影响。请注意,具体的配置和规则根据实际需求进行调整,以确保WAF的安全性和有效性。中,我们获取客户端IP地址,并以其为键在共享字典中查找该IP的访问次数。如果访问次数超过了设定的限制,则拒绝访问并返回HTTP_FORBIDDEN(403)状态码。上述配置中,我们使用了ngx_lua模块的。,用于存储IP地址的访问次数。
收录拒绝指定ip请求黑名单lua脚本、拒绝ip频次请求lua脚本
Eamon_Jun的博客
11-26 2793
前言 最近对自己的博客EAMON (eamonjun.cn)加了个功能,基于OpenResty + Redis 动态封禁ip. 关于OpenResty了解一下,OpenResty(又称:ngx_openresty) 是一个基于 NGINX 的可伸缩的 Web 平台,由中国人章亦春发起,提供了很多高质量的第三方模块。 说实话对于lua脚本看是能看的懂的或者在一个成熟的脚本上做一些小的修改,但是全程写下来就有点费劲了,所以需要收集一些常用的脚本,以备不时之需。 lua脚本 拒绝指定ip请求黑名单lua
基于注解实现 SpringBoot 接口
g1246975590的博客
03-01 521
文章目录一、编写注解类 `AccessLimit`二、在`Interceptor`拦截器中实现拦截逻辑三、把`Interceptor`注册到`springboot`中四、在`Controller`中加入注解实现接口五、测试访问附:StatusCode.java、Result.java、application.yml 该示例项目通过自定义注解,实现接口访问次数控制,从而实现接口功能,项目结构如下: 一、编写注解类 AccessLimit package cn.mygweb.annotation;
php 禁止ip,PHP防止恶意频繁新,自动加ip黑名单禁止访问
weixin_39860260的博客
03-26 552
PHP防止恶意频繁新,自动加ip黑名单禁止访问2021-01-22    作者:Admin    来源:www.luexuan.net$ip = get_client_ip_extend();//获取当前访问者的ip$logFilePath = '/ippath/';//日志记录文件保存目录$fileht = '.htaccess2';//被禁止的ip记录文件$allowtime = 60;//...
提供一个springboot+redis+ ratelimit 限流切面使用demo
最新发布
05-16
### Spring Boot 中基于 Redis 和 RateLimit 实现限流切面的示例 以下是完整的代码示例,展示如何在 Spring Boot 应用程序中使用 AOP 和 Redis实现接口限流功能。 #### 1. 添加依赖项 首先,在 `pom.xml` 文件中引入必要的依赖项: ```xml <dependencies> <!-- Spring Boot Starter AOP --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> <!-- Spring Data Redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <!-- Lettuce or Jedis as the Redis client --> <dependency> <groupId>io.lettuce.core</groupId> <artifactId>lettuce-core</artifactId> </dependency> </dependencies> ``` --- #### 2. 配置 Redis 参数 在 `application.properties` 或 `application.yml` 文件中配置 Redis 连接参数: ```properties # Redis Configuration spring.redis.host=localhost spring.redis.port=6379 spring.redis.password= spring.redis.timeout=10000ms spring.redis.lettuce.pool.max-active=10 spring.redis.lettuce.pool.max-idle=5 spring.redis.lettuce.pool.min-idle=1 ``` --- #### 3. 创建自定义注解 `@RateLimit` 定义一个注解,用于标记需要限流的接口,并指定限流策略。 ```java import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface RateLimit { int limit(); // 单位时间内允许的最大请求数 long timeWindowInSeconds(); // 时间窗口长度(单位:秒) } ``` --- #### 4. 编写限流服务类 `RateLimiterService` 封装 Redis 操作逻辑,提供限流判断方法。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.stereotype.Service; @Service public class RateLimiterService { private final StringRedisTemplate redisTemplate; @Autowired public RateLimiterService(StringRedisTemplate redisTemplate) { this.redisTemplate = redisTemplate; } /** * 判断当前请求是否被允许通过限流检查。 * * @param key 请求唯一标识符(如用户ID/IP地址/接口名称等) * @param limit 允许的最大请求数量 * @param duration 时间窗口长度(秒) * @return true 表示允许访问;false 表示已超出限流范围 */ public boolean isAllowed(String key, int limit, long duration) { String value = redisTemplate.opsForValue().get(key); int currentCount = (value != null) ? Integer.parseInt(value) : 0; if (currentCount >= limit) { return false; // 已达到限流上限 } // 更新计数器并设置过期时间 redisTemplate.opsForValue().setIfAbsent(key, "0", duration); // 初始化键值 redisTemplate.opsForValue().increment(key); return true; } } ``` --- #### 5. 创建 AOP 切面类 `RateLimitAspect` 利用 Spring AOP 截获带有 `@RateLimit` 注解的方法,并应用限流逻辑。 ```java import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; @Aspect @Component public class RateLimitAspect { private static final Logger logger = LoggerFactory.getLogger(RateLimitAspect.class); @Autowired private RateLimiterService rateLimiterService; @Around("@annotation(rateLimit)") public Object handleRateLimit(ProceedingJoinPoint joinPoint, RateLimit rateLimit) throws Throwable { String methodName = joinPoint.getSignature().getName(); String uniqueKey = "rate_limit:" + methodName; // 获取限流参数 int maxRequests = rateLimit.limit(); long windowSizeInSeconds = rateLimit.timeWindowInSeconds(); // 执行限流检查 if (!rateLimiterService.isAllowed(uniqueKey, maxRequests, windowSizeInSeconds)) { logger.warn("Request rejected due to exceeding rate limit: {}", methodName); throw new RuntimeException("Too many requests"); } // 继续执行目标方法 return joinPoint.proceed(); } } ``` --- #### 6. 测试控制器 创建一个简单的 REST 控制器,测试限流效果。 ```java import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class TestController { @GetMapping("/test") @RateLimit(limit = 5, timeWindowInSeconds = 10) // 每10秒最多允许5次请求 public String testMethod() { return "This method has been accessed successfully!"; } } ``` --- ### 总结 以上代码展示了如何在 Spring Boot 中集成 Redis 和 AOP 技术来实现接口限流功能。核心思路是通过 Redis 记录请求次数,并结合滑动窗口算法动态调整限流状态[^1]。 ```lua -- Lua 脚本用于更高效的限流操作 local key = KEYS[1] local limit = tonumber(ARGV[1]) local increment = tonumber(ARGV[2]) local current = tonumber(redis.call('GET', key) or '0') if current + increment > limit then return 0 -- 达到限流阈值 else redis.call('INCRBY', key, increment) redis.call('EXPIRE', key, ARGV[3]) -- 设置超时时间 return 1 -- 正常请求 end ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南宫拾壹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值