攔截器+redis
為了防止惡意訪問接口造成服務器和數(shù)據(jù)庫壓力增大導致癱瘓,接口防刷(防止重復提交)在工作中是必不可少的,web項目前端也能夠實現(xiàn),我們要介紹的是后端如何實現(xiàn)接口防刷。
實現(xiàn)思路
由于本人能力有限,只接觸過集群部署,一般都是使用兩種方案解決,一種是攔截器+Redis實現(xiàn),另外一種是使用攔截器+Guava Cache等本地緩存實現(xiàn),此處介紹第一種。
實現(xiàn)原理是利用攔截器攔截所有接口請求,然后對需要防刷的接口使用注解標識,在攔截器中判斷使用注解的方法,將根據(jù)請求的URI和用戶信息生成唯一的Key和訪問次數(shù)存放到redis中,之后的每次請求都會使訪問次數(shù)加一。
利用redis能夠過期的特性設定好一個訪問周期的間隔時間。
實現(xiàn)目標:兩次請求時間間隔5秒不算重復提交,但30秒內(nèi)調(diào)用5次以上判定為惡意訪問。
接下來我們來實現(xiàn)吧
具體實現(xiàn)
自定義一個注解AccessLimit,seconds為設置的秒數(shù)范圍,maxCount是范圍時間內(nèi)可以訪問的次數(shù),needLogin與本文無關可忽略。
@Retention(RUNTIME)
@Target(METHOD)
public @interface AccessLimit {
int seconds();
int maxCount();
boolean needLogin() default true;
}
創(chuàng)建一個攔截器,繼承HandlerInterceptorAdapter,在preHandle方法中做具體的操作。
每次請求都會根據(jù)key查詢redis獲取其訪問次數(shù),如果沒有則是第一次訪問,往redis中插入數(shù)據(jù),過期時間是注解中的屬性值seconds。
@Component
public class RepeatRequestInterceptor extends HandlerInterceptorAdapter {
@Autowired
private RedisUtils redisUtils;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//判斷請求是否屬于方法的請求
if(handler instanceof HandlerMethod){
HandlerMethod hm = (HandlerMethod) handler;
//獲取方法中的注解,看是否有該注解
AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
if(accessLimit == null){
return true;
}
int seconds = accessLimit.seconds();
int maxCount = accessLimit.maxCount();
boolean login = accessLimit.needLogin();
String key = request.getRequestURI();
//如果需要登錄
if(login){
//獲取登錄的session進行判斷
//.....
key+=""+"1"; //這里假設用戶是1,項目中是動態(tài)獲取的userId
}
//從redis中獲取用戶訪問的次數(shù)(redis中保存的key保存30秒,redisUtils使用的單位是秒)
Integer count = redisUtils.get(key,Integer.class,seconds);
if(count == null){
//第一次訪問 key保存5秒 5秒后再訪問key已過期,會重新生成
redisUtils.set(key,1,5);
}else if(count < maxCount){
//加1
redisUtils.increment(key);
}else{
//超出訪問次數(shù)
render(response);
return false;
}
}
return true;
}
private void render(HttpServletResponse response)throws Exception {
response.setContentType("Application/json;charset=UTF-8");
OutputStream out = response.getOutputStream();
String str = "{'mdg':'請求次數(shù)太多了'}";
out.write(str.getBytes("UTF-8"));
out.flush();
out.close();
}
}
附上redisUtils代碼
@Component
public class RedisUtils {
@Autowired
private RedisTemplate<String, Object> redisTemplate;
@Autowired
private ValueOperations<String, String> valueOperations;
/**
* 不設置過期時長
*/
public final static long NOT_EXPIRE = -1;
/**
* 設置key value
*/
public void set(String key, Object value){
set(key, value, CacheConstant.DEFAULT_EXPIRE);
}
public void set(String key, Object value, long expire){
valueOperations.set(key, toJson(value));
if(expire != NOT_EXPIRE){
redisTemplate.expire(key, expire, TimeUnit.SECONDS);
}
}
/**
* 根據(jù)key獲得對象
*/
public <T> T get(String key, Class<T> clazz) {
return get(key, clazz, NOT_EXPIRE);
}
public <T> T get(String key, Class<T> clazz, long expire) {
String value = valueOperations.get(key);
if(expire != NOT_EXPIRE){
redisTemplate.expire(key, expire, TimeUnit.SECONDS);
}
return value == null ? null : fromJson(value, clazz);
}
/**
* 根據(jù)key獲得value
*/
public String get(String key) {
return get(key, NOT_EXPIRE);
}
public String get(String key, long expire) {
String value = valueOperations.get(key);
if(expire != NOT_EXPIRE){
redisTemplate.expire(key, expire, TimeUnit.SECONDS);
}
return value;
}
public void increment(String key) {
redisTemplate.opsForValue().increment(key,1L);
}
}
通過JAVAconfig形式把Interceptor注冊到容器中
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Autowired
private RepeatRequestInterceptor interceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(interceptor);
}
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS")
.allowCredentials(true).maxAge(3600);
}
}
接口調(diào)用
編寫一個測試類,寫一個測試接口,如下
@RestController
@RequestMapping("/bid-applicant")
public class BidApplicantController extends BaseController {
@AccessLimit(seconds=30, maxCount=5, needLogin=true)
@RequestMapping("/fangshua")
public ResponseInfo fangshua(){
return ResponseInfo.ok("請求成功");
}
測試
我在第一次請求后的30秒內(nèi)連續(xù)訪問超過5次請求,會輸出我的報錯信息,工作中可以跳轉自己的錯誤頁面。
