美团面试:接口被恶意狂刷,怎么办???

原创 于 2025-11-14 21:48:29 发布 · 483 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#后端 #spring #数据库 #spring boot #java

下面是原本面试现场:

面试官:接口被恶意狂刷,怎么办?

我:这个没搞过(每天CRUD,真的没搞过)

面试官:如果现在让你来设计,你会怎么设计?

我:巴拉巴拉...胡扯一通

面试官:(带着不耐烦的表情)我们还是换个话题吧

.....

为了不让大家也和我有同样的遭遇,今天,咱们就用一个非常简单的方式实现防刷:

一个注解搞定防刷

技术点

涉及到的技术点有如下几个:

  • 自定义注解
  • 拦截器
  • Redis的基本操作
  • Spring Boot项目

其实,非常简单,主要的还是看业务。

自定义注解

自定义一注解AccessLimit**。

java

import java.lang.annotation.Retention; import java.lang.annotation.Target; import static java.lang.annotation.ElementType.METHOD; import static java.lang.annotation.RetentionPolicy.RUNTIME; @Retention(RUNTIME) @Target(METHOD) public @interface AccessLimit { //次数上限 int maxCount(); //是否需要登录 boolean needLogin()default false; }

添加Redis配置项

在配置文件中,加入Redis配置;

ini

spring.redis.database=0 spring.redis.host=127.0.0.1 spring.redis.port=6379 spring.redis.jedis.pool.max-active=100 spring.redis.jedis.pool.max-idle=100 spring.redis.jedis.pool.min-idle=10 spring.redis.jedis.pool.max-wait=1000ms

注意,把Redis的starter在pom中引入。

xml

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency>

创建拦截器

创建拦截器,所有请求都进行拦截,防刷的主要内容全部在这里。

java

// 一堆import 这里就不贴出来了,需要的自己导入 /** * 处理方法上 有 AccessLimitEnum 注解的方法 * @author java后端技术全栈 * @date 2021/8/6 15:42 */ @Component public class FangshuaInterceptor extends HandlerInterceptorAdapter { @Resource private RedisTemplate<String,Object> redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("----FangshuaInterceptor-----"); //判断请求是否属于方法的请求 if (handler instanceof HandlerMethod) { HandlerMethod hm = (HandlerMethod) handler; //检查方法上室友有AccessLimit注解 AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class); if (accessLimit == null) { return true; } //获取注解中的参数, int maxCount = accessLimit.maxCount(); boolean login = accessLimit.needLogin(); String key = request.getRequestURI(); //防刷=同一个请求路径+同一个用户+当天 //如果需要登录 if (login) { //可以充session中获取user相关信息 //这里的userId暂时写死, Long userId = 101L; String currentDay = format(new Date(), "yyyyMMdd"); key += currentDay + userId; }else{ //可以根据用户使用的ip+日期进行判断 } //从redis中获取用户访问的次数 Object countCache = redisTemplate.opsForValue().get(key); if (countCache == null) { //第一次访问,有效期为一天 //时间单位自行定义 redisTemplate.opsForValue().set(key,1,86400, TimeUnit.SECONDS); } else{ Integer count = (Integer)countCache; if (count < maxCount) { //加1 count++; //也可以使用increment(key)方法 redisTemplate.opsForValue().set(key,count); } else { //超出访问次数 render(response, "访问次数已达上限!"); return false; } } } return true; } //仅仅是为了演示哈 private void render(HttpServletResponse response, String msg) throws Exception { response.setContentType("application/json;charset=UTF-8"); OutputStream out = response.getOutputStream(); out.write(msg.getBytes("UTF-8")); out.flush(); out.close(); } //日期格式 public static String format(Date date, String formatString) { if (formatString == null) { formatString = DATE_TIME_FORMAT; } DateFormat dd = new SimpleDateFormat(formatString); return dd.format(date); } }

注意

判断是否为相同请求,使用:URI+userId+日期。即Redis的key=URI+userId+yyyyMMdd,缓存有效期为一天。

很多都在代码里有注释了,另外强调一下,不要吐槽代码,仅仅是演示。

注册拦截器

尽管上面我们已经自定义并实现好了拦截器,但还需要我们手动注册。

kotlin

import com.example.demo.ExceptionHander.FangshuaInterceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; @Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Autowired private FangshuaInterceptor interceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(interceptor); } }

这样我们的注解就正式注册到拦截器链中了,后面项目中才会有效。

使用注解

前面的准备都搞定了,现在来具体使用。

首先,我们创建一个简单的controller,然后,在方法上加上我们自定义的注解AccessLimit,就可以实现接口防刷了。

less

import com.example.demo.result.Result; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.ResponseBody; @Controller public class FangshuaController { //具体请求次数由具体业务决定,以及是否需要登录 @AccessLimit(maxCount=5, needLogin=true) @RequestMapping("/fangshua") @ResponseBody public Object fangshua(){ return "请求成功"; } }

测试,浏览器页面上访问:http://localhost:8080/fangshua

前面4次返回的是:请求成功

超过4次后变成:访问次数已达上限!

一个注解就搞定了,是不是 so easy !!!

总结

关于接口防刷,如果在面试中被问到,至少还是能说个123了。也建议大家手动试试,自己搞出来了更带劲儿。

美团面试拷打:ConcurrentHashMap 为何不能插入 null?HashMap 为何可以?
JavaGuide
08-28 2301
周末的时候,有一位小伙伴提了一些关于的问题,都是他最近面试遇到的。原提问如下(星球原贴地址:https://t.zsxq.com/11jcuezQs ):下面我会以此提供这两个问题的详细答案,希望对你有帮助。
美团面试:讲解Threadlocal,内存泄漏问题和垃圾回收机制
qq_54059439的博客
05-17 1061
是处理线程局部变量的强大工具,但需要小心使用,以避免内存泄漏。确保在适当的时候调用可以帮助防止这种情况。理解垃圾回收机制和它如何与相互作用也是写出高效和健壮的多线程Java程序的关键部分。
应用(接口)被的解决方案(接口防止机器数据的处理方案)
weixin_33688840的博客
04-12 4327
2019独角兽企业重金招聘Python工程师标准>>> ...
美团面试接口恶意,怎么办?
田维常
08-06 448
关注公众号“Java后端技术全栈”回复“电子书”获取程序员必备电子书大家好,我是老田,今天给大家分享的是:接口。之前,我已经分享给四个美团面试的技术点:美团面试:讲清楚MySQL结构体...
api接口限流 防止恶意接口
white_ShiKu的博客
12-26 3090
api限流的场景 限流的需求出现在许多常见的场景中 1.秒杀活动,有人使用软件恶意单抢货,需要限流防止机器参与活动 2.某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流 3.淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。 api限流实战 首先我们编写注解类AccessLimit,使用注解方式在方法上...
接口
weixin_30293135的博客
07-31 271
接口2019-07-31历史同一天的访问量,139W 2612W临时上了个脚本:根据后端接口映射到前端的URL 临近 上了IP>100次/s的封停止。后续改进:1)判断业务接口(不校验 )不可直接 暴露外网2)lvs流量监控 、主机流量监控没有留意与抛锚3)业务接口监控 日常量 突发量 转载于:https://www.cnblogs.com/xiaocry/articles...
美团面试:事务提交了,数据丢失 了 ?大概的原因是什么?
最新发布
架构师尼恩
05-24 1740
美团面试:事务提交了,数据丢失 了 ?大概的原因是什么?
美团面试:MySQL为什么 不用 Docker部署?
架构师尼恩
01-28 2236
MySQL 是一个有状态的服务,因为它需要持久化存储数据。在使用 Docker 部署 MySQL 时,如果不进行适当的配置,容器关闭后数据会丢失。因此,需要将数据文件挂载到宿主机上,以确保数据的持久化。Docker 容器化技术提供了许多显著的优势,包括自动伸缩、容灾、切换、开发与生产一致性、快速部署和隔离性等。这些优势使得 Docker 成为现代软件开发和部署中不可或缺的工具。通过合理使用 Docker 和 Kubernetes 等工具,可以大大提高系统的可扩展性、可靠性和维护性。
美团面试:深入解析ThreadLocal原理
"本文主要介绍了在美团面试中遇到的ThreadLocal原理,以及其在Java后端开发中的应用和使用场景。" 在Java编程中,ThreadLocal是一个非常重要的工具类,它提供了一种线程局部变量的实现。这些变量在每个线程内部都有...
JAVA面试题分享二百五十三:接口被恶10Wqps,怎么防?
之乎者也·的博客
12-15 1359
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常见的访问控制策略,它将用户分配到不同的角色中,每个角色具有一组权限,从而控制用户对系统资源的访问。在接口服务端对接口请求进行校验时,按照相同的算法计算签名值,并与请求中的签名值进行比对,如果一致,则说明请求合法,否则说明请求不合法。在 Shiro 中,授权是通过授权信息和角色信息来实现的。访问日志监控是一种常见的监控方式,用于监控网站、应用程序等的访问情况,可以帮助我们了解用户的行为和需求,以便做出相应的优化和改进。
公司的API接口了,那是因为你没这样做
公众号-老炮说Java
12-13 512
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达上一篇:这300G的Java资料是我师傅当年给我的,免费分享给大家下一篇:昨天分享资料不小心把百度网盘深处的秘密泄露了作者:海...
一个注解搞定接口!还有谁不会?
方志朋的博客
04-04 155
点击关注公众号,Java干货及时送达说明:使用了注解的方式进行对接口的功能,非常高大上,本文章仅供参考一,技术要点:springboot的基本知识,redis基本操作,首先是写一个注解...
避免短信接口被黑客攻击的方式
WLANQY的博客
01-16 504
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信防火墙,都可以提高黑客攻击接口的难度。在实际的接口防护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。
接口恶意?一招帮你搞定!
Java笔记虾
01-06 316
戳上方蓝字“Java笔记虾”关注我API 接口,顾名思义,想让某个接口某个人在某段时间内只能请求N次。在项目中比较常见的问题也有,那就是连点按钮导致请求多次,以前在web端有表单重复提交,可以通过token 来解决。除了上面的方法外,前后端配合的方法。现在全部由后端来控制。原理在你请求的时候,服务器通过redis 记录下你请求的次数,如果次数超过限制就不给访问。在redis 保存的key 是有...
糟糕,接口了,怎么办?
2401_88326655的博客
12-19 716
面试时,经常会被问一个问题:如何防止别人恶意接口?这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。
恶意接口?8个方法帮你破除!!【送源码】
java_121388的博客
04-30 1013
面试时,经常会被问一个问题:如何防止别人恶意接口?这是一个非常有意思的问题,防范措施挺多的。今天这篇文章专门跟大家一起聊聊,希望对你会有所帮助。防火墙是网络安全中最基本的安全设备之一,主要用于防止未经授权的网络访问和攻击。:防火墙可以识别和过滤掉无效的数据包,如错误的 IP 地址、伪造的数据包和无法识别的协议等。:防火墙可以使用不同的技术来检测和阻止 DOS 和 DDOS 攻击,如阻止大量 TCP/UDP 连接、IP 地址过滤和流量限制等。
Java场景面试题:短信验证码接口,怎么办?
Tom弹架构
02-23 2171
请问短信验证码接口,搞得服务都快要崩溃了,我该怎么办?
接口如何防止被
liujiang的博客
07-15 5293
接口如何防 1:网关控制流量洪峰,对在一个时间段内出现流量异常,可以拒绝请求 2:源ip请求个数限制。对请求来源的ip请求个数做限制 3:http请求头信息校验;(例如host,User-Agent,Referer) 4:对用户唯一身份uid进行限制和校验。例如基本的长度,组合方式,甚至有效性进行判断。或者uid具有一定的时效性 5:前后端协议采用二进制方式进行交互或者协议采用签名机制 6:人机验证,验证码,短信验证码,滑动图片形式 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值