文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Spring Boot如何防止接口恶意刷新和暴力请求

2023-06-30 20:43

关注

本文小编为大家详细介绍“Spring Boot如何防止接口恶意刷新和暴力请求”,内容详细,步骤清晰,细节处理妥当,希望这篇“Spring Boot如何防止接口恶意刷新和暴力请求”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。

首先创建一个自定义的拦截器类,也是最核心的代码;

@Slf4jpublic class IpUrlLimitInterceptor implements HandlerInterceptor {      private RedisUtil getRedisUtil() {        return  SpringContextUtil.getBean(RedisUtil.class);    }     private static final String LOCK_IP_URL_KEY="lock_ip_";     private static final String IP_URL_REQ_TIME="ip_url_times_";     private static final long LIMIT_TIMES=5;     private static final int IP_LOCK_TIME=60;     @Override    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {        log.info("request请求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest));        if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){            log.info("ip访问被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));            ApiResult result = new ApiResult(ResultEnum.LOCK_IP);            returnJson(httpServletResponse, JSON.toJSONString(result));            return false;        }        if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){            ApiResult result = new ApiResult(ResultEnum.LOCK_IP);            returnJson(httpServletResponse, JSON.toJSONString(result));            return false;        }        return true;    }     @Override    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {     }     @Override    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {     }         private Boolean ipIsLock(String ip){        RedisUtil redisUtil=getRedisUtil();        if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){            return true;        }        return false;    }        private Boolean addRequestTime(String ip,String uri){        String key=IP_URL_REQ_TIME+ip+uri;        RedisUtil redisUtil=getRedisUtil();        if (redisUtil.hasKey(key)){            long time=redisUtil.incr(key,(long)1);            if (time>=LIMIT_TIMES){                redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);                return false;            }        }else {            redisUtil.getLock(key,(long)1,1);        }        return true;    }     private void returnJson(HttpServletResponse response, String json) throws Exception {        PrintWriter writer = null;        response.setCharacterEncoding("UTF-8");        response.setContentType("text/json; charset=utf-8");        try {            writer = response.getWriter();            writer.print(json);        } catch (IOException e) {            log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);        } finally {            if (writer != null) {                writer.close();            }        }    }  }

代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;

redis分布式锁的关键代码:

@Component@Slf4jpublic class RedisUtil {     private static final Long SUCCESS = 1L;     @Autowired    private RedisTemplate<String, Object> redisTemplate;    // =============================common============================              public boolean getLock(String lockKey, Object value, int expireTime) {        try {            log.info("添加分布式锁key={},expireTime={}",lockKey,expireTime);            String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";            RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);            Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);            if (SUCCESS.equals(result)) {                return true;            }        } catch (Exception e) {            e.printStackTrace();        }        return false;    }         public boolean releaseLock(String lockKey, String value) {        String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";        RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);        Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);        if (SUCCESS.equals(result)) {            return true;        }        return false;    } }

最后将上面自定义的拦截器通过registry.addInterceptor添加一下,就生效了;

@Configuration@Slf4jpublic class MyWebAppConfig extends WebMvcConfigurerAdapter {    @Bean    IpUrlLimitInterceptor getIpUrlLimitInterceptor(){        return new IpUrlLimitInterceptor();    }  @Override    public void addInterceptors(InterceptorRegistry registry) {        registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");        super.addInterceptors(registry);    }}

读到这里,这篇“Spring Boot如何防止接口恶意刷新和暴力请求”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注编程网行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯