Java接口防刷策略(自定义注解实现)

最新推荐文章于 2025-11-25 11:56:09 发布
原创 最新推荐文章于 2025-11-25 11:56:09 发布 · 7.2k 阅读 · 53 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口防刷 #接口频率限制 #IP限制

前言

本文一定要看完,前部分为逻辑说明及简单实现,文章最后有最终版解决方案(基于lua脚本),因为前部分是防君子不防小人,无法抵挡for循环调用。

目的

  • 短信发送及短信验证码校验接口防刷
    一方面防止用户循环调用刷短信验证码
    另一方面防止用户循环调用测短信验证码(一般短信验证码为6位纯数字,一秒钟上百次调用,如果不做限制很快就能试出来了)
  • 很多接口需要防止前端重复调用
    误操作多次点击,不属于攻击类型,正常用户经常会触发的,例如信息发布可能前端限制未做好,误点击了多次,这种情况实际上应该只记录第一次的,后续的不应该继续操作数据库。
  • 极端的情况
    可能很多接口一天或者很长时间只能调用一次(类似签到?个人想法是尽量不让数据到了数据库层再抛异常)

解决措施

利用Spring AOP理念,自定义注解实现接口级访问次数限制

访问次数记录使用Redis存储,Redis的过期机制很适合当前场景,而且可以在更大程度上提升性能

  • 定义注解

    package com.cong.core.rate;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target({
     
      ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface RateLimit {
     
     

	/** 周期,单位是秒 */
	int cycle() default 5;

	/** 请求次数 */
	int number() default 1;

	/** 默认提示信息 */
	String msg() default "请勿重复点击";
}

    默认是5秒调用一次,现在网上一大堆脚本,贴吧发帖跟帖自动化,实际上打字点击发帖的正常频率也不会超过2秒一次吧,但是机器很容易就超过这个速度了,在一定程度上也可以限制这种情况的发生。
    接口级限制,所以当前注解只作用在方法上。

  • 定义接口访问频次限制接口

    package com.cong.core.rate;

public interface RateLimitService {
     
     

	/**
	 * 接口频次限制校验
	 * 
	 * @param ip
	 *            客户端IP
	 * @param uri
	 *            请求接口名
	 * @param rateLimit
	 *            限制频次信息
	 * @return
	 * @author single-聪
	 * @date 2020年6月1日
	 * @version 1.6.1
	 */
	Boolean limit(String ip, String uri, RateLimit rateLimit);
}

    因为Interceptor拦截器最终返回值是true或false,所以当前接口返回值为boolean类型。
    关于参数,可以设法获取设备Mac地址,对于某些明显是攻击的IP及设备封禁。

  • RateLimitService接口默认实现类

    package com.cong.core.rate;

import java.util.concurrent.TimeUnit;
import org.springframework.data.redis.core.RedisTemplate;
import lombok.extern.slf4j.Slf4j;

@Slf4j
public class DefaultRateLimitServiceImpl implements RateLimitService {
     
     

	private RedisTemplate<String, Integer> redisTemplate;

	public void setRedisTemplate(RedisTemplate<String, Integer> redisTemplate) {
     
     
		this.redisTemplate = redisTemplate;
	}

	@Override
	public Boolean limit(String ip, String uri, RateLimit rateLimit) {
     
     
		log.info("默认的实现,请自定义实现类覆盖当前实现");
		String key = "rate:" + ip + ":" + uri;
		// 缓存中存在key,在限定访问周期内已经调用过当前接口
		if (redisTemplate.hasKey(key)) {
     
     
			// 访问次数自增1
			redisTemplate.opsForValue().increment(key, 1);
			// 超出访问次数限制
			if (redisTemplate.opsForValue()
最低0.47元/天 解锁文章
Java】教你如何实现接口
DreamSun的博客
08-14 1298
我们在浏览网站后台的时候,假如我们频繁请求,那么网站会提示 “请勿重复提交” 的字样,那么这个功能究竟有什么用呢,又是如何实现的呢?其实这就是接口的一种处理方式,通过在一定时间内限制同一用户对同一个接口的请求次数,其目的是为了止恶意访问导致服务器和数据库的压力增大,也可以止用户重复提交。/*** @description 重复请求拦截/*** 限定时间 单位:秒/*** 限定请求次数。
接口方案
BUG指挥课堂
01-16 1130
本文为描述通过Interceptor以及Redis实现接口访问Demo咋说呢就是通过自定义注解中定义 x 秒内 y 次访问次数,禁用时长为 z 秒自定义注解 + 在需要进行处理的各个接口方法上在拦截器中通过反射获取到各个接口中的x, y, z值即可达到我们想要的接口自由目的下面做个实现声明自定义注解Controlller中方法中使用Interceptor处逻辑修改(最重要是通过反射判断此接口是否需要进行处理,以及获取到x, y, z的值)/**
SpringBoot 接口的5种方案,太强了!
最新发布
weixin_44421461的博客
11-25 45
然后,我们移除过期的请求记录,统计当前窗口内的请求数。令牌桶算法是一种更加灵活的限流算法,它就像一个装有令牌的桶,系统会以固定的速率向桶中添加令牌,每个请求需要从桶中获取一个令牌才能被处理。恶意的高频请求如同隐藏在暗处的“杀手”,不仅会大量消耗服务器宝贵的资源,还可能引发数据异常,严重时甚至会导致整个系统瘫痪,给业务带来不可估量的损失。阿里巴巴开源的 Sentinel 是一个强大的流量控制组件,它就像一个智能的“交通警察”,可以对系统的流量进行实时监控和控制,提供了丰富的限流、熔断、系统保护等功能。
JAVA aop方式实现 止请求轰炸
SUNJsun_的博客
06-30 366
3.在controller 层的接口上面加上注解
Java实现接口
weixin_43515983的博客
11-04 1262
实现接口
优雅的接口处理方式,看这一篇就够了
小学生波波
09-22 4716
优雅的接口处理方式
java自定义注解接口实现方案
09-05
本文将深入探讨如何在Java实现自定义注解以及如何解析和利用这些注解。 首先,了解Java中的元注解是非常重要的。元注解是用于注解其他注解注解,它们定义了自定义注解的行为和范围。主要有四种元注解: 1. **@...
自定义注解实现接口权限控制--详细记录
weixin_44144455的博客
10-11 735
今天来学习下如何做权限控制。提示:以下是本篇文章正文内容,下面案例可供参考这里我们定义一个名叫 AnyRoles 的接口,定义方法如下:其中 @Target 和 @Retention 和 @Document 这3个称为元注解Meta-Annotation)元注解(Meta-Annotation)是指注解注解,即用于修饰其他注解注解。元注解Java中主要用于控制注解的行为和属性。@Document@Target这个元注解指定了AnyRoles注解可以被应用于哪些程序元素。
Springboot使用策略模式和自定义注解实现多种判题策略切换
hrh的博客
12-03 793
Springboot使用策略模式和自定义注解实现了多种判题策略的声明式切换,简洁美观,符合开闭原则,扩展性强。
自定义注解加 AOP 实现服务接口鉴权以及内部认证
qq_64948664的博客
10-01 2032
1.定义注解:使用@interface关键字定义注解。2.注解元素:在注解中定义元素,就像在接口中定义方法。3.元注解:使用元注解(如@Retention、@Target等)来描述注解的行为。1. 定义注解可以使用@interface关键字来定义一个注解。在上面的例子中, MyAnnotation 注解有两个元素: value 和 number。其中, number 有一个默认值 0。2. 元注解注解注解注解,用来描述注解本身的行为。
java接口_API 接口
weixin_31714033的博客
02-16 612
API 接口顾名思义,想让某个接口某个人在某段时间内只能请求N次。在项目中比较常见的问题也有,那就是连点按钮导致请求多次,以前在web端有表单重复提交,可以通过token 来解决。除了上面的方法外,前后端配合的方法。现在全部由后端来控制。原理在你请求的时候,服务器通过redis 记录下你请求的次数,如果次数超过限制就不给访问。在redis 保存的key 是有时效性的,过期就会删除。代码实现:为...
Java后台接口裸奔的解决方案
03-19
Java后台接口裸奔的解决方案,简单易懂,让你的接口不再裸奔
止恶意新页面的java实现
08-10
这个讲述了两种使用软件方式进行阻止恶意新。提供了一些核心的代码,仅供参考。 提示:是收集技术网站上的资料整理的。
接口如何止被
liujiang的博客
07-15 5304
接口如何 1:网关控制流量洪峰,对在一个时间段内出现流量异常,可以拒绝请求 2:源ip请求个数限制。对请求来源的ip请求个数做限制 3:http请求头信息校验;(例如host,User-Agent,Referer) 4:对用户唯一身份uid进行限制和校验。例如基本的长度,组合方式,甚至有效性进行判断。或者uid具有一定的时效性 5:前后端协议采用二进制方式进行交互或者协议采用签名机制 6:人机验证,验证码短信验证码,滑动图片形式 ...
java 接口处理方案
yuechuzhixing的博客
04-03 1042
接口处理方案
接口如何止被,教你有效的8种方法
m0_66326520的博客
02-23 4257
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并止API接口被恶意
为了保护用户的数据,给大家提供一个高效且优雅的接口处理方案。
2301_76936922的博客
04-06 705
因此,通过使用这些Controller和它们的方法,我们可以更好地管理我们的应用程序。上述实现虽然已经达到了我们的接口的目的,但是我们还有更多的事情可以做来提高系统的安全性。实际上,在实际工作中,我们需要对不同接口进行不同的处理,而不是简单地针对所有接口进行统一处理。但实际上前后端联调开发项目时,不会有那么严谨的Api文档给我们用(这个在实习中倒是碰到过,公司不是很大,开发起来也就不那么严谨,啥都要自己搞,功能能实现就好)在我的开发过程中,我一开始只考虑了【接口】的功能,只是想统计访问次数。
Java 接口处理方案
clixinchao的博客
04-28 1432
在一个高访问量的 Web 应用程序中,用户可能通过接口的方式,大量消耗系统资源,从而导致系统崩溃。本文介绍了基于 Java接口处理方案,包括限制请求频率限制并发请求数两个方面。1. 限制请求频率:对于同一个 IP 地址,限制其请求某个接口频率。具体来说,可以采用 Token Bucket 算法,每次请求从 Token Bucket 中取出一个 Token,如果 Token Bucket 为空,则拒绝请求。具体来说,可以采用信号量机制,每次请求前先获取一个信号量,如果信号量已满,则拒绝请求。
页面接口 解决思路一nginx
weixin_33862041的博客
01-09 1048
线上环境 很多接口 如果不做缓存 可能导致有人拿到url  每秒几万次的访问后台程序,导致系统down机.此处, nginx可以加一层缓存.   expires起到控制页面缓存的作用,合理的配置expires可以减少很多服务器的请求要配置expires,可以在http段中或者server段中或者location段中加入PS. 可以限制单个接口的访问 location ~ ^/user/ { ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值