AI 助理
备案控制台
开发者社区 芋道源码 文章 正文

几行代码,搞定 SpringBoot 接口恶意刷新和暴力请求!

2022-09-06 217
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
推荐场景:
通过缓存加速数据库访问
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
简介: 几行代码,搞定 SpringBoot 接口恶意刷新和暴力请求!

在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过interceptredis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的;

首先工程为springboot框架搭建,不再详细叙述。

直接上核心代码。

首先创建一个自定义的拦截器类,也是最核心的代码:

/**
 * @package: com.technicalinterest.group.interceptor
 * @className: IpUrlLimitInterceptor
 * @description: ip+url重复请求现在拦截器
 * @author: Shuyu.Wang
 * @since: 0.1
 **/
@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {
 private RedisUtil getRedisUtil() {
  return  SpringContextUtil.getBean(RedisUtil.class);
 }
 private static final String LOCK_IP_URL_KEY="lock_ip_";
 private static final String IP_URL_REQ_TIME="ip_url_times_";
 private static final long LIMIT_TIMES=5;
 private static final int IP_LOCK_TIME=60;
 @Override
 public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
  log.info("request请求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest));
  if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){
   log.info("ip访问被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));
   ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
   returnJson(httpServletResponse, JSON.toJSONString(result));
   return false;
  }
  if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){
   ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
   returnJson(httpServletResponse, JSON.toJSONString(result));
   return false;
  }
  return true;
 }
 @Override
 public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
 }
 @Override
 public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
 }
 /**
  * @Description: 判断ip是否被禁用
  * @author: shuyu.wang
  * @date: 2019-10-12 13:08
  * @param ip
  * @return java.lang.Boolean
  */
 private Boolean ipIsLock(String ip){
  RedisUtil redisUtil=getRedisUtil();
  if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){
   return true;
  }
  return false;
 }
 /**
  * @Description: 记录请求次数
  * @author: shuyu.wang
  * @date: 2019-10-12 17:18
  * @param ip
  * @param uri
  * @return java.lang.Boolean
  */
 private Boolean addRequestTime(String ip,String uri){
  String key=IP_URL_REQ_TIME+ip+uri;
  RedisUtil redisUtil=getRedisUtil();
  if (redisUtil.hasKey(key)){
   long time=redisUtil.incr(key,(long)1);
   if (time>=LIMIT_TIMES){
    redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);
    return false;
   }
  }else {
   redisUtil.getLock(key,(long)1,1);
  }
  return true;
 }
 private void returnJson(HttpServletResponse response, String json) throws Exception {
  PrintWriter writer = null;
  response.setCharacterEncoding("UTF-8");
  response.setContentType("text/json; charset=utf-8");
  try {
   writer = response.getWriter();
   writer.print(json);
  } catch (IOException e) {
   log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);
  } finally {
   if (writer != null) {
    writer.close();
   }
  }
 }
}

代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;

redis分布式锁的关键代码:

/**
 * @package: com.shuyu.blog.util
 * @className: RedisUtil
 * @description:
 * @author: Shuyu.Wang
 * @since: 0.1
 **/
@Component
@Slf4j
public class RedisUtil {
 private static final Long SUCCESS = 1L;
 @Autowired
 private RedisTemplate<String, Object> redisTemplate;
 // =============================common============================
 /**
  * 获取锁
  * @param lockKey
  * @param value
  * @param expireTime:单位-秒
  * @return
  */
 public boolean getLock(String lockKey, Object value, int expireTime) {
  try {
   log.info("添加分布式锁key={},expireTime={}",lockKey,expireTime);
   String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";
   RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
   Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);
   if (SUCCESS.equals(result)) {
    return true;
   }
  } catch (Exception e) {
   e.printStackTrace();
  }
  return false;
 }
 /**
  * 释放锁
  * @param lockKey
  * @param value
  * @return
  */
 public boolean releaseLock(String lockKey, String value) {
  String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";
  RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
  Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);
  if (SUCCESS.equals(result)) {
   return true;
  }
  return false;
 }
}

最后将上面自定义的拦截器通过registry.addInterceptor添加一下,就生效了;

@Configuration
@Slf4j
public class MyWebAppConfig extends WebMvcConfigurerAdapter {
    @Bean
 IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
     return new IpUrlLimitInterceptor();
 }
 @Override
    public void addInterceptors(InterceptorRegistry registry) {
  registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

自己可以写一个for循环来测试方面的功能,这里就不详细介绍了。

文章标签:
云数据库 Tair(兼容 Redis)
Java
NoSQL
Redis
安全
关键词:
Spring Boot请求
Spring Boot接口
Spring Boot刷新
代码Spring Boot
Spring Boot接口请求
相关实践学习
基于Redis实现在线游戏积分排行榜
本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
云数据库 Redis 版使用教程
云数据库Redis版是兼容Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。 产品详情:https://www.aliyun.com/product/kvstore &nbsp; &nbsp; ------------------------------------------------------------------------- 阿里云数据库体验:数据库上云实战 开发者云会免费提供一台带自建MySQL的源数据库&nbsp;ECS 实例和一台目标数据库&nbsp;RDS实例。跟着指引,您可以一步步实现将ECS自建数据库迁移到目标数据库RDS。 点击下方链接,领取免费ECS&amp;RDS资源,30分钟完成数据库上云实战!https://developer.aliyun.com/adc/scenario/51eefbd1894e42f6bb9acacadd3f9121?spm=a2c6h.13788135.J_3257954370.9.4ba85f24utseFl
-编程工程师-
目录
相关文章
杀死一只知更鸟debug
|
7天前
|
Java 网络架构 Spring
springboot中restful风格请求的使用
本文介绍了在Spring Boot中如何使用RESTful风格的请求,包括创建HTML表单页面、在application.yaml配置文件中开启REST表单支持、编写Controller层及对应映射处理,并进行服务启动和访问测试。HTML表单默认只支持GET和POST请求,因此对于DELETE和PUT请求,需要使用隐藏域`_method`来支持。
杀死一只知更鸟debug
20 1
springboot中restful风格请求的使用
六卿
|
9天前
|
前端开发 JavaScript Java
SpringBoot项目部署打包好的React、Vue项目刷新报错404
本文讨论了在SpringBoot项目中部署React或Vue打包好的前端项目时,刷新页面导致404错误的问题,并提供了两种解决方案:一是在SpringBoot启动类中配置错误页面重定向到index.html,二是将前端路由改为hash模式以避免刷新问题。
六卿
49 1
刘大猫.
|
5天前
|
JavaScript 前端开发 Java
SpringBoot项目的html页面使用axios进行get post请求
SpringBoot项目的html页面使用axios进行get post请求
刘大猫.
18 6
杀死一只知更鸟debug
|
6天前
|
SQL JSON Java
springboot 如何编写增删改查后端接口,小白极速入门,附完整代码
本文为Spring Boot增删改查接口的小白入门教程,介绍了项目的构建、配置YML文件、代码编写(包括实体类、Mapper接口、Mapper.xml、Service和Controller)以及使用Postman进行接口测试的方法。同时提供了SQL代码和完整代码的下载链接。
杀死一只知更鸟debug
27 0
springboot 如何编写增删改查后端接口,小白极速入门,附完整代码
杀死一只知更鸟debug
|
7天前
|
存储 前端开发 Java
springboot文件上传和下载接口的简单思路
本文介绍了在Spring Boot中实现文件上传和下载接口的简单思路。文件上传通过`MultipartFile`对象获取前端传递的文件并存储,返回对外访问路径;文件下载通过文件的uuid名称读取文件,并通过流的方式输出,实现文件下载功能。
杀死一只知更鸟debug
11 0
springboot文件上传和下载接口的简单思路
最好zzz
|
22天前
|
存储 数据采集 Java
Spring Boot 3 实现GZIP压缩优化:显著减少接口流量消耗!
在Web开发过程中,随着应用规模的扩大和用户量的增长,接口流量的消耗成为了一个不容忽视的问题。为了提升应用的性能和用户体验,减少带宽占用,数据压缩成为了一个重要的优化手段。在Spring Boot 3中,通过集成GZIP压缩技术,我们可以显著减少接口流量的消耗,从而优化应用的性能。本文将详细介绍如何在Spring Boot 3中实现GZIP压缩优化。
最好zzz
65 6
刘大猫.
|
7天前
|
Java 网络架构
springboot配合thymeleaf,调用接口不跳转页面只显示文本
springboot配合thymeleaf,调用接口不跳转页面只显示文本
刘大猫.
34 0
最好zzz
|
2月前
|
存储 JSON 前端开发
SpringBoot 如何实现无感刷新Token
【8月更文挑战第30天】在Web开发中,Token(尤其是JWT)作为一种常见的认证方式,被广泛应用于身份验证和信息加密。然而,Token的有效期问题常常导致用户需要重新登录,从而影响用户体验。为了实现更好的用户体验,SpringBoot可以通过无感刷新Token的机制来解决这一问题。以下将详细介绍SpringBoot如何做到无感刷新Token。
最好zzz
43 2
最好zzz
|
2月前
|
安全 Java 应用服务中间件
如何在 Spring Boot 3.3 中实现请求 IP 白名单拦截功能
【8月更文挑战第30天】在构建Web应用时,确保应用的安全性是至关重要的。其中,对访问者的IP地址进行限制是一种常见的安全措施,特别是通过实施IP白名单策略,可以只允许特定的IP地址或IP段访问应用,从而有效防止未授权的访问。在Spring Boot 3.3中,我们可以通过多种方式实现这一功能,下面将详细介绍几种实用的方法。
最好zzz
87 1
土木林森
|
2月前
|
Java API UED
【实战秘籍】Spring Boot开发者的福音:掌握网络防抖动,告别无效请求,提升用户体验!
【8月更文挑战第29天】网络防抖动技术能有效处理频繁触发的事件或请求,避免资源浪费,提升系统响应速度与用户体验。本文介绍如何在Spring Boot中实现防抖动,并提供代码示例。通过使用ScheduledExecutorService,可轻松实现延迟执行功能,确保仅在用户停止输入后才触发操作,大幅减少服务器负载。此外,还可利用`@Async`注解简化异步处理逻辑。防抖动是优化应用性能的关键策略,有助于打造高效稳定的软件系统。
土木林森
41 2

热门文章

最新文章

  • 1
    springboot+druid+mybatis plus的多数据源配置
  • 2
    SpringBoot前后端分离项目,打包、部署到服务器详细图文流程
  • 3
    SpringBoot开发案例之整合Dubbo提供者(一)
  • 4
    Spring Boot 中文乱码问题解决方案汇总
  • 5
    SpringBoot系列(2)整合MongoDB实现增删改查(完整案例)
  • 6
    SpringBoot从入门到精通(二十八) JPA 的实体映射关系,轻松一对一,一对多,多对多关系映射!
  • 7
    《Spring Boot极简教程》第10章 Springboot集成Kotlin混合Java开发
  • 8
    SpringBoot+RabbitMQ 实现手动消息确认(ACK)上
  • 9
    Spring MVC配置太多?试试Spring Boot
  • 10
    基于Vue和SpringBoot的电商管理系统的设计与实现(一)
  • 1
    spring cache整合redis实现springboot项目中的缓存功能
    105
  • 2
    Spring Boot 和 Vue.js 实现的前后端分离的用户权限管理系统
    151
  • 3
    Spring Boot中的bean注入方式和原理
    548
  • 4
    springboot中的第二个IOC容器BootstrapContext
    110
  • 5
    springboot使用html模版导出pdf文档
    585
  • 6
    springboot集成knife4j接口文档
    123
  • 7
    springboot - 条件注解@ConditionalOnClass原理
    82
  • 8
    SpringBoot启动后出现Please sign in页面
    272
  • 9
    Spring Boot的定时任务与异步任务
    108
  • 10
    SpringBoot整合Mybatis连接Oracle数据库
    340

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册

    • 相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    无影云桌面