关于登录的安全性管理有较多的手段,包括;设备信息、IP信息、绑定的信息、验证码登各类方式。不过在一些网页版的登录中,如果有人想办法把你的验证码给我,我就可以登录你的账户,查看你的数据。对于一些不法分子通过让你进入某些应用的录屏会议后(XXX退货返现),就能拿到你的验证码,并做登录操作。还有一些是完全流氓式做法,就玩命的一些快递📦手机号+验证码频繁的撞接口,也是有概率成功登录的。因此,为了避免这种情况,我们还需要思考如何防范。
我们可以考虑在登录的阶段必须加一些恶心的图片比对码,或者滑块验证码。这也是一种方式,能尽可能降低登录的撞接口操作。之后再考虑添加一个指纹ID,对于验证码的生成与用户从浏览器设备过来的指纹做绑定。这样即使对方通过录屏拿到你的验证码,也仍然没有做登录操作。
<script> // Initialize the agent at application startup. const fpPromise = import('https://openfpcdn.io/fingerprintjs/v4') .then(FingerprintJS => FingerprintJS.load()) // Get the visitor identifier when you need it. fpPromise .then(fp => fp.get()) .then(result => { // This is the visitor identifier: const visitorId = result.visitorId console.log(visitorId) }) </script>
有了上面这个方案,我们至少可以做一些安全的管控了。但还有臭不要脸的,一直刷你接口。这既有安全风险,又有对服务器的压力。所以我们要考虑对于这样的恶意用户进行限流和自动化黑名单处理。
浏览器指纹的方案只需要做一个验证码绑定即可,之后限流和自动化黑名单,则需要做一些代码的开发。通过配置的方式为每一个需要做此类功能的接口添加上服务治理。通常我们把对应用的熔断、降级、限流、切量、黑白名单、人群等,都称为服务治理
工程结构
限流拦截
切面定义
public @interface AccessInterceptor { /** 用哪个字段作为拦截标识,未配置则默认走全部 */ String key() default "all"; /** 限制频次(每秒请求次数) */ double permitsPerSecond(); /** 黑名单拦截(多少次限制后加入黑名单)0 不限制 */ double blacklistCount() default 0; /** 黑名单持续时间(秒) */ long blacklistDurationSeconds() default 24 * 3600; // 默认为24小时 /** 拦截后的执行方法 */ String fallbackMethod(); }
- 自定义切面注解,提供了拦截的key、限制频次、黑名单处理、黑名单持续时间、拦截后的回调方法。再通过 @Pointcut 切入配置了自定义注解的接口方法
切面拦截
@Slf4j @Aspect public class RateLimiterAOP { @Resource private RedissonClient redissonClient; @Pointcut("@annotation(cn.bugstack.chatgpt.data.types.annotation.AccessInterceptor)") public void aopPoint() { } @Around("aopPoint() && @annotation(accessInterceptor)") public Object doRouter(ProceedingJoinPoint jp, AccessInterceptor accessInterceptor) throws Throwable { String key = accessInterceptor.key(); if (key == null || key.isEmpty()) { throw new IllegalArgumentException("RateLimiter key is null or empty!"); } // 获取拦截字段 String keyAttr = getAttrValue(key, jp.getArgs()); log.info("aop attr {}", keyAttr); // 黑名单拦截 if (!"all".equals(keyAttr) && accessInterceptor.blacklistCount() != 0 && isBlacklisted(keyAttr, accessInterceptor)) { log.info("限流-黑名单拦截(24h):{}", keyAttr); return fallbackMethodResult(jp, accessInterceptor.fallbackMethod()); } // 速率限制 if (!isRateLimited(keyAttr, accessInterceptor)) { log.info("限流-超频次拦截:{}", keyAttr); return fallbackMethodResult(jp, accessInterceptor.fallbackMethod()); } // 返回结果 return jp.proceed(); } /** * 黑名单 * @param keyAttr * @param accessInterceptor * @return */ private boolean isBlacklisted(String keyAttr, AccessInterceptor accessInterceptor) { String blacklistKey = "blacklist:" + keyAttr; long count = redissonClient.getAtomicLong(blacklistKey).incrementAndGet(); redissonClient.getAtomicLong(blacklistKey).expire(accessInterceptor.blacklistDurationSeconds(), TimeUnit.SECONDS); return count > accessInterceptor.blacklistCount(); } /** * 限流 * @param keyAttr * @param accessInterceptor * @return */ private boolean isRateLimited(String keyAttr, AccessInterceptor accessInterceptor) { String rateLimitKey = "ratelimit:" + keyAttr; RRateLimiter rateLimiter = redissonClient.getRateLimiter(rateLimitKey); // 设置速率 rateLimiter.trySetRate(RateType.OVERALL, (long) accessInterceptor.permitsPerSecond(), 1, RateIntervalUnit.SECONDS); // 尝试获取许可 return rateLimiter.tryAcquire(); } /** * 调用用户配置的回调方法,当拦截后,返回回调结果。 */ private Object fallbackMethodResult(ProceedingJoinPoint jp, String fallbackMethod) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException { MethodSignature methodSignature = (MethodSignature) jp.getSignature(); Method method = jp.getTarget().getClass().getMethod(fallbackMethod, methodSignature.getParameterTypes()); return method.invoke(jp.getThis(), jp.getArgs()); } /** * 实际根据自身业务调整,主要是为了获取通过某个值做拦截 */ private String getAttrValue(String attr, Object[] args) { if (args[0] instanceof String) { return (String) args[0]; } String fieldValue = null; for (Object arg : args) { try { if (fieldValue != null) { break; } fieldValue = String.valueOf(getValueByName(arg, attr)); } catch (Exception e) { log.error("获取属性值失败 attr:{}", attr, e); } } return fieldValue; } /** * 获取对象的特定属性值 * * @param item 对象 * @param name 属性名 * @return 属性值 * @author tang */ private Object getValueByName(Object item, String name) { try { Field field = getFieldByName(item, name); if (field == null) { return null; } field.setAccessible(true); Object value = field.get(item); field.setAccessible(false); return value; } catch (IllegalAccessException e) { return null; } } /** * 根据名称获取方法,该方法同时兼顾继承类获取父类的属性 * * @param item 对象 * @param name 属性名 * @return 该属性对应方法 * @author tang */ private Field getFieldByName(Object item, String name) { try { Field field; try { field = item.getClass().getDeclaredField(name); } catch (NoSuchFieldException e) { field = item.getClass().getSuperclass().getDeclaredField(name); } return field; } catch (NoSuchFieldException e) { return null; } } }
- 通过自定义注解中配置的拦截字段,获取对应的值。这里的值作为用户的标识使用,只对这个用户进行拦截。【也可以是一些列的信息确认,包括用户IP、设备等。】
- 这段代码流程中会根据自定义注解中的配置,对访问的用户进行限流拦截,当拦击次数达到加入黑名单的次数后,则直接存起来(Redis)在24h内直接走黑名单。—— 实际的场景中还会有风控的手段介入,以及人工来操作黑名单。
@Configuration public class RateLimiterAOPConfig { @Bean public RateLimiterAOP rateLimiter(){ return new RateLimiterAOP(); } }
最后在需要拦截的方法上添加自定义注解即可
- key: 以用户ID作为拦截,这个用户访问次数限制
- fallbackMethod:失败后的回调方法,方法出入参保持一样
- permitsPerSecond:每秒的访问频次限制。1秒1次
- blacklistCount:超过10次都被限制了,还访问的,扔到黑名单里24小时
