秒杀项目 (7)安全优化

最新推荐文章于 2022-05-13 20:45:11 发布
最新推荐文章于 2022-05-13 20:45:11 发布
阅读量1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42306803/article/details/100854853
本文详细介绍了秒杀系统中安全优化的关键策略,包括接口地址隐藏、数学验证码的使用及生成,以及防刷限流措施。通过这些技术手段,有效提升了系统的安全性,防止恶意刷单,确保公平交易。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、安全优化

1.1 思路

  • 秒杀接口地址隐藏
  • 数学公式验证码
  • 接口限流防刷

1.2 隐藏秒杀地址原因

秒杀未开始前,如果抓包先获取path,在将path拼到秒杀地址上,也可以秒杀到商品(ps:不加验证码的情况下)

二、接口地址隐藏

2.1 秒杀之前,先去接口请求获取秒杀地址

  • 思路
    将生成的path存到redis中
@RequestMapping(value = "/path",method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(Model model,MiaoshaUser miaoshaUser,@RequestParam("godsId")Long goodsId){
        model.addAttribute("user",miaoshaUser);
        String path = miaoshaService.createPath(miaoshaUser, goodsId);
        return Result.success(path);
    }

2.2 秒杀时,先验证path

秒杀收到请求,先验证PathVarible ,如果不一一致,则显示错误信息

 String realpath = miaoshaService.getPath(miaoshaUser, goodsId);
        if(!realpath.equals(path)){
            return Result.error(CodeMsg.GETPASS_ERROR);
        }

2.3 接口地址隐藏的具体步骤

  • 验证码验证正确后,进入获取秒杀地址的阶段
  • 随机生成一个字符串,返回给前端页面,并且将字符串作为value,userid+goodsid+“killpath”,作为key存到redis缓存中
  • 用户根据key从redis中取到有关秒杀路径的字符串,与从前端取到的字秒杀路径的字符串进行比对,正确,则将字符串与秒杀路径组合,这样用户就得到真正的秒杀路径。
  • 这样的作用是每个用户,每个商品,每次请求都对应一个真正的秒杀路径,防止其他用户窃取了当前用户的秒杀路径和通过抓包的方式,获取到真正的秒杀路径。

三、数学验证码

3.1 作用

  • 防机器人
  • 分散用户的请求

3.2 生成验证码接口

  @RequestMapping("/verifyCode")
    @ResponseBody
    public Result<Long> getMiaoshaVerifyCode(Model model, MiaoshaUser miaoshaUser, @RequestParam("godsId")Long goodsId, HttpServletResponse response){
        try {
            if(miaoshaUser == null){
                return Result.error(CodeMsg.SESSION_ERROR);
            }
            BufferedImage image = miaoshaService.createVerifyCode(miaoshaUser,goodsId);
            ServletOutputStream outputStream = response.getOutputStream();
            ImageIO.write(image,"JPEG",outputStream);
            outputStream.flush();
            outputStream.close();
            //数据已经通过ServletOutputStream返回,不需要再返回
            return null;
        } catch (IOException e) {
            e.printStackTrace();
            return Result.error(CodeMsg.MIAOSHA_FAIL);
        }
    }

3.2.1 生成带数学公式的验证码,保存到redis中

返回BufferedImage 类型的验证码

  public BufferedImage createVerifyCode(MiaoshaUser miaoshaUser, Long goodsId)
    {
        if(miaoshaUser==null||goodsId<=0) {
            return null;
        }
        int width=80;
        int height=30;
        BufferedImage img=new BufferedImage(width,height,BufferedImage.TYPE_INT_RGB);
        Graphics g=img.getGraphics();
        g.setColor(new Color(0xDCDCDC));
        g.fillRect(0, 0, width, height);
        g.setColor(Color.BLACK);
        g.drawRect(0, 0, width-1, height-1);
        Random rdm=new Random();
        for(int i=0;i<50;i++) {
            int x=rdm.nextInt(width);
            int y=rdm.nextInt(height);
            g.drawOval(x, y, 0, 0);
        }
        //生成验证码
        String vertifyCode=generateVertifyCode(rdm);
        //颜色,字体
        g.setColor(new Color(0,100,0));
        g.setFont(new Font("Candara",Font.BOLD,24));
        //将验证码写在图片上
        g.drawString(vertifyCode, 8, 24);
        g.dispose();
        //计算存值
        int rnd=calc(vertifyCode);
        //将计算结果保存到redis上面去
        redisService.set(MiaoshaUserKey.getMiaoshaVertifyCode, ""+miaoshaUser.getId()+"_"+goodsId, rnd);
        return img;
    }

3.2.2 生成验证码上的数学公式

只做加减乘,除法为0会出错

private char[] ops = new char[]{'+','-','*'};
private String generateVertifyCode(Random rdm) {
        int num1 = rdm.nextInt(10);
        int num2 = rdm.nextInt(10);
        int num3 = rdm.nextInt(10);
        char op1 = ops[rdm.nextInt(3)];
        char op2 = ops[rdm.nextInt(3)];
        String exp = "" + num1 + op1 + num2 + op2 + num3;
        return exp;
    }

3.2.3 返回验证码的结果,便于与输入的进行比较

作用可以解析验证码上的字符串,并进行计算,返回结果

 private static int calc(String exp)
    {
        try {
            ScriptEngineManager scriptEngineManager = new ScriptEngineManager();
            ScriptEngine javaScript = scriptEngineManager.getEngineByName("JavaScript");
            return (Integer)javaScript.eval(exp);
        } catch (ScriptException e) {
            e.printStackTrace();
            return 0;
        }

3.3 点击验证码,就能更换新的验证码

加一个onClick事件

3.4 验证验证码

  • 在获得秒杀路径后,就可以进行验证验证码
  • 验证成功后要删除验证的验证码
  @RequestMapping(value = "/path",method = RequestMethod.GET)
    @ResponseBody
    public Result<String> getMiaoshaPath(Model model,MiaoshaUser miaoshaUser,@RequestParam("godsId")Long goodsId,@RequestParam("verifyCode")int verifyCode){
        if(miaoshaUser == null || goodsId < 0){
            return Result.error(CodeMsg.SESSION_ERROR);
        }
        //验证验证码
        Boolean check = miaoshaService.checkVerifyCode(miaoshaUser,goodsId,verifyCode);
        if(!check){
            return Result.error(CodeMsg.REQUEST_ILLEAGAL);
        }
        model.addAttribute("user",miaoshaUser);
        String path = miaoshaService.createPath(miaoshaUser, goodsId);
        return Result.success(path);
    }

验证验证码具体函数:

 public Boolean checkVerifyCode(MiaoshaUser miaoshaUser, Long goodsId , int verifyCode) {
        Integer integer = redisService.get(MiaoshaUserKey.getMiaoshaVertifyCode, "" + miaoshaUser.getId() + "_" + goodsId, Integer.class);
        if (integer == null || integer - verifyCode != 0) {
            return false;
        } else {//验证完,要删除验证码
            redisService.delete(MiaoshaUserKey.getMiaoshaVertifyCode, "" + miaoshaUser.getId() + "_" + goodsId);
            return true;
        }
    }

3.5 验证码的验证流程

  • 将生成的验证码的结果放在redis缓存中中,userid+goodsid作为key,值作为value存到redis中
  • 用户在前端输入的验证码结果,与从redis中取出的结果进行比对,错误返回验证码输入错误,不用删除redis中的验证码
  • 用户点击验证码,生成新的验证码,会把新的验证码的结果存到redis中,并且将原来的相同的key的值进行覆盖。
  • 比对正确则删除当前redis缓存中的验证码的结果。

四、防刷限流

4. 1 作用

限制一个用户在一段时间内访问的次数

4.2 思路

功能在redis中实现,访问一次对应的值加1,超过访问次数,限制访问,过了一分钟,则重新设置有效期和访问次数。

4.3 简单的防刷限流

  • 思路:用户的 ID和请求的路径作为key,首先从redis中根据该key去取得用户的访问次数,如果为null,则根据该key重新设置key,value,value的值是1,能取到key对应的value,则判断vlaue是否小于5,是则处理请求,否则返回error。
  //2.查询访问的次数
        String requestURI = request.getRequestURI();
        String key = requestURI + miaoshaUser.getId() + "";
        Integer count = redisService.get(AccessKey.accessKey, key, Integer.class);
        if(count == null){
            redisService.set(AccessKey.accessKey, key,1);
        }else if(count < 5) {
            redisService.incr(AccessKey.accessKey, key);
        }else {
            return Result.error(CodeMsg.ACCESS_LIMIT);
        }

4.4 规范的防刷限流

4.4.1 自定义注解

 @AccessLimit(seconds=5,maxCount=10,needLogin=true)

4.4.2 自定义注解

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {
    int seconds();
    int maxCount();
    boolean needLogin() default true;
}

4.4.3 自定义ThreadLocal存放变量

public class UserContext {
    //每个线程中有一个ThreadLocal
    public static ThreadLocal<MiaoshaUser> user = new ThreadLocal<>();
    public static void setUser(MiaoshaUser miaoshaUser){
        user.set(miaoshaUser);
    }
    public static MiaoshaUser getUser(){
        return (MiaoshaUser)user.get();
    }
}

4.5 自定义拦截器斤进行防刷限流

public class AccessInteceptor extends HandlerInterceptorAdapter {
    @Autowired
    MiaoShaUserService miaoShaUserService;
    @Autowired
    RedisService redisService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if(handler instanceof HandlerMethod){
            //渠取到用户
            MiaoshaUser user = getUser(request, response);
            HandlerMethod handler1 = (HandlerMethod) handler;
            //拿到注解
            AccessLimit accessLimit = handler1.getMethodAnnotation(AccessLimit.class);
            if(accessLimit == null){
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            String key = request.getRequestURI();
            boolean needLogin = accessLimit.needLogin();
            if(needLogin){
                if(user == null){
                    render(response, CodeMsg.SESSION_ERROR);
                    return false;
                }
                key += "_" + user.getId();
            }else {
            }
            Integer count = redisService.get(AccessKey.withExpireTime(seconds), key, Integer.class);
            if(count == null){
                redisService.set(AccessKey.withExpireTime(seconds), key,1);
            }else if(count < maxCount) {
                redisService.incr(AccessKey.withExpireTime(seconds), key);
            }else {
                render(response,CodeMsg.ACCESS_LIMIT);
                return false;
            }
        }
        return true;
    }

    private void render(HttpServletResponse response, CodeMsg msg) throws IOException {
        OutputStream outputStream = response.getOutputStream();
        String string = JSON.toJSONString(msg);
        outputStream.write(string.getBytes("UTF-8"));
        outputStream.flush();
        outputStream.close();
    }

    public MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response){
        String paramToken=request.getParameter(MiaoShaUserService.COOKIE_NAME);
        System.out.println("@UserArgumentResolver-resolveArgument  paramToken:"+paramToken);
        //获取cookie
        String cookieToken=getCookieValue(request,MiaoShaUserService.COOKIE_NAME);
        System.out.println("@UserArgumentResolver-resolveArgument  cookieToken:"+cookieToken);
        if(StringUtils.isEmpty(cookieToken)&& StringUtils.isEmpty(paramToken))
        {
            return null;
        }
        String token=StringUtils.isEmpty(paramToken)?cookieToken:paramToken;
        //System.out.println("goods-token:"+token);
        //System.out.println("goods-cookieToken:"+cookieToken);
        MiaoshaUser user=miaoShaUserService.getByToken(token,response);
        return user;
    }
    public String getCookieValue(HttpServletRequest request, String cookie1NameToken) {//COOKIE1_NAME_TOKEN-->"token"
        //遍历request里面所有的cookie
        Cookie[] cookies=request.getCookies();
        if(cookies!=null) {
            for(Cookie cookie :cookies) {
                if(cookie.getName().equals(cookie1NameToken)) {
                    System.out.println("getCookieValue:"+cookie.getValue());
                    return cookie.getValue();
                }
            }
        }
        System.out.println("No getCookieValue!");
        return null;
    }
}

4.6 限制用户访问次数

  • 在拦截器拦截方法执行前,去执行相关注解的逻辑,此处是对用户访问次数的访问
  • 取到注解中的参数,在指定的时间内进行判断
  • 首先判断用户的访问次数是否为null
  • 是,则意味着用户之前未访问过,则设置count为1
  • 接着判断访问的次数是否超过指定的次数,没有,访问次数加1,否则限制访问
SpringBoot秒杀项目五(秒杀安全优化
张毅的博客
12-14 480
1.优化思路 (1)秒杀接口地址隐藏。防止有人恶意秒杀 (2)数学公式验证码。也能防止恶意秒杀。并且能够减轻秒杀系统的瞬时流量,减轻并发量。比如:12306的购票需要输入验证码。这样就能将原先瞬间的并发量削减到10s之内。 (3)接口限流防刷。限制一个用户1分钟之内只能访问某个接口10次 2.秒杀接口地址隐藏 思路:秒杀开始之前,先去请求接口获取秒杀地址 接口改造,带上PathVariable参数 添加生成地址的接口 秒杀收到请求,先验证PathVariable (1)在前端点击秒杀抢购的时候,不直接跳
关于秒杀项目优化
weixin_44988815的博客
06-11 244
优化的方面: 静态资源优化: (1)js/css的压缩,减少流量(去掉空格和多余的字符) (2)多个js/css组合,减少连接数 (3)cdn就近访问(本地加速,提高含有大量图片和静态页面站点的访问速度) 页面缓存+URL缓存+对象缓存 页面缓存: (1)取缓存 String html = redisService.get(GoodsKey.getGoodList,'',String.class); if(!StringUtils.isEmpty(html)){ return html; } (2)手动
秒杀安全
架构师小秘圈
02-05 989
简介  我们通常衡量一个Web系统的吞吐率的指标是QPS(Query Per Second,每秒处理请求数),解决每秒数万次的高并发场景,这个指标非常关键。举个例子,我们假设处理一个业务请求平均响应时间为100ms,同时,系统内有20台Web服务器,配置MaxClients为500个(表示服务器的最大连接数目)。那么,我们的Web系统的理论峰值QPS为(理想化的计算方式):20*500/0.1 =
Java秒杀实战 (七)安全优化
插上小翅膀的程序猿Wings
07-24 892
一、隐藏秒杀地址 思路:秒杀开始前,先去请求接口获取秒杀地址 1.接口改造,带上PathVariable参数 2.添加生成地址的接口 3.秒杀收到请求,先验证PathVariable   二、数学公式验证码 1.添加生产验证码接口 2.在获取秒杀路径的时候,验证验证码 3.ScriptEngine使用   package com.wings.seckill.controll...
秒杀项目优化措施
qq_32816723的博客
08-15 364
前面的待总结 措施1:ngx服务器最初是与后端服务器短连接的,应使其为长连接,即keppalive 这是短链接下,1000个线程循环30次的压测报告: 这是长连接设置下的压测报告: emmm从图中可以看出短连接下的平均耗时竟然比长连接下更短,可能是因为长连接下样本多了3000+的原因?但是显而易见长连接下的吞吐量大幅度优于短连接(也可能是因为样本的原因?) 或者是因为我的长连接没有设置正确??anyway,反正这是一个优化手段。 ...
Java性能优化 打造亿级流量秒杀系统杀项目资料
最新发布
10-06
Java性能优化是一个涉及多方面技术的领域,尤其在构建能够处理亿级流量的...通过上述多方面的综合优化,一个能够应对亿级流量的秒杀系统才能在确保性能的同时,保证系统的稳定性和安全性,为用户提供良好的购物体验。
对应博主秒杀项目秒杀商品展示及商品秒杀
02-13
综上所述,这个秒杀项目涵盖了前端展示、高并发处理、库存管理、订单生成、缓存优化安全防护等多个方面的知识点,对于理解电商平台中的秒杀功能具有很高的实践价值。通过学习和实施这样的项目,开发者能够提升自己...
项目实现秒杀
04-12
秒杀业务分析、架构规则、高并发带来的挑战、高并发下的数据安全以及秒杀的三种优化思路
电商秒杀系统优化。涉及SpringBoot+MyBatis框架、Redis、RabbitMQ、接口优化安全优化.zip
09-17
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
秒杀项目 安全优化笔记
小白鼠丶
02-11 366
秒杀接口地址隐藏 防机器人 写一个接口以获取秒杀地址,接口中使用如用户ID+商品ID为key,value为UUID字符串设置到redis中,以便在第2步校验url是否正确,并返回UUID生成的字符串 拿到第1步生成的UUID字符串发送给真正的秒杀接口,校验UUID是否正确,若正确则继续秒杀接口逻辑 数学公式图形验证码 分散用户请求,防机器人 接口限流防刷 一段时间内访问接口...
【学习笔记】seckill-秒杀项目--(10)安全优化
qq_43950000的博客
05-13 963
引言 当我们秒杀开始时,不会直接调秒杀接口,而是获取真正秒杀接口的地址,根据每个用户秒杀的不同商品是不一样的。这样可以避免有些人提前通过脚本准备好固定地址进行秒杀。这种方式的缺点是有可能能提前获取到秒杀接口地址,这种时候可以再进行一次验证码的防护。如果没有验证码的话,一秒内可能有很多请求,加上验证码可以延迟请求的时间,服务器承受的压力就没有那么大。为了减少并发量,还可以进行一次接口的限流。 一、秒杀接口地址隐藏 针对不同用户秒杀不同商品,设计秒杀接口地址不同。 1.1 控制层修改 /** * 秒杀 *
秒杀项目安全性处理总结
weixin_43214023的博客
03-19 1577
1.登录验证过程 1.前端js代码对输入框的数据进行校验 2.完成校验的password在前端使用js函数进行第一次md5,加密,通过ajax,把数据封装为loginVo传给后端。 3.后端拿到分装为loginVo的对象,对他进行参数的验证,加了一个自定义的校验器 4.经过验证之后,调用登录的方法,拿出loginVo中的手机号,去查找redis中是否有缓存 5.redis中有缓存则直接拿出来缓存的user对象 6.把传入的密码加上从取出的对象那里拿到的数据库salt进行第二次md5,对照取出的对
针对秒杀项目做的一些优化
qq_45661125的博客
02-09 1441
秒杀业务逻辑数据库的设计一些全局配置JSR303参数验证(手机号)登录秒杀优化缓存优化Redis的封装页面缓存对象缓存客户端的缓存(页面静态化+前后端分离)接口优化安全方面明文密码两次MD5处理秒杀接口地址隐藏接口限流 做了一个秒杀项目,并对其做了一定的优化! 业务逻辑 数据库的设计 为什么将秒杀的商品单独建一张表(秒杀表)而不再商品表添加一个字段来判断呢,因为今天可能是秒杀,明天可能是9.9包邮,这样的话导致商品表越来越难以维护 一些全局配置 全局异常处理 错误信息描述 JSR303参数
项目开发之秒杀优化
qq_41797857的博客
04-09 234
项目开发之秒杀优化 用CDN来储存静态资源 智能DNS解析(nginx) 用redis进行缓存,来减少数据库压力 1.redis获取数据是没有序列化的,要自己序列化(从redis中获取后反序列化为对象,导入redis中序列化为字节流) 2.热点数据放在redis中 对表执行顺序进行调整:在一个事务中给表行加锁的时间尽量缩短 使用数据库的存储过程(一般少用,简单的逻辑且并发要求高...
gulimall——秒杀安全优化(三)
qq_38246328的博客
05-04 314
1.优化思路 (1)秒杀接口地址隐藏。防止有人恶意秒杀 (2)数学公式验证码。也能防止恶意秒杀。并且能够减轻秒杀系统的瞬时流量,减轻并发量。 (3)接口限流防刷。限制一个用户1分钟之内只能访问某个接口10次。 2.秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。) 实现思路: 在进行秒杀之前,去后端获取一个动态的秒杀地址path(服务
秒杀功能(7安全优化
Serena0814的博客
05-13 519
安全优化 从本篇开始讲秒杀系统的安全优化。主要分为三大块: 秒杀接口地址隐藏 数学公式验证码 接口限流防刷 秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还是要放在服务端,禁止掉这些恶意服务。 该操作:可以为了防止,恶意用户登陆之后,获取tok...
秒杀项目07-安全优化
qq_43478625的博客
10-25 3568
秒杀项目07-安全优化1. 秒杀接口地址隐藏1.1 接口改造,带上PathVariable参数1.2 添加生成地址的接口1.3 秒杀收到请求,先验证PathVariable2. 数学公式验证码3. 接口限流防刷 1. 秒杀接口地址隐藏 思路: 秒杀开始之前,先去请求接口获取秒杀地址 1.1 接口改造,带上PathVariable参数 1.2 添加生成地址的接口 1.3 秒杀收到请求,先验证PathVariable 2. 数学公式验证码 3. 接口限流防刷 ...
秒杀项目-- 3、浅谈优化思想
weixin_44919162的博客
10-06 296
前两节,只是强迫自己再现Springboot项目搭建的过程,增强记忆,熟悉一下SpringBoot的使用; 后面做的是 实现秒杀的业务逻辑 + 优化。 业务逻辑就是 增删改查了,没什么好说的。 但是优化,相较于以前在学校做的增删改查,能打开一个新的视野,对业务处理也会有一个更深的认识。 并且这些经验思想 可以在任何一个项目 复用。 就像一段好的基础框架代码(见Unity开发中的 缓存池),复制到任何一个项目,都能起到很大的基础构建作用。 下面是实际操作过的 优化动作, 最后有一个 视野更大 但是没实践过(很
搭建一个秒杀项目以及优化
weixin_48922154的博客
06-03 880
文章目录一、基础项目搭建二、项目优化1. 前置:JMeter 压测方法2. 解决超卖3. 虚拟机优化4. Tomcat优化5. 缓存优化5.1 商品页面缓存5.2 秒杀缓存以及秒杀逻辑6. 异步处理订单 一、基础项目搭建 克隆项目之后导入SQL文件 主要有五张表 t_goods 保存了所有商品列表 t_order 保存订单信息 t_seckill_goods 将秒杀的商品列为新的一张表,因为商品会有各种优惠活动,如果在商品表新建字段不好维护,或者秒杀渠道和不秒杀渠道可能同时开启,所以新建一张有利于维护秒杀
深入解析秒杀项目的设计与实践
根据您提供的文件信息,我们可以推断出需要详细讲解的是关于“秒杀项目”这一知识点,并且相关文件是该项目的后端服务代码,其压缩包文件名为“seckill_backService-master”。下面我将详细展开关于“秒杀项目”相关...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值