一、场景分析
在我们日常开发中,尤其是需要对外提供可供公网访问的接口API时,会有被人抓包,获取到接口地址,进行恶意/频繁访问的安全问题。解决这一问题的方法有很多种,今天给大家分享的是从代码角度,结合spring利用Redis的incr 递增函数,实现一个计数器,来解决这一问题。
二、incr 递增函数
Redis的incr命令是将key中存储的值递增,具有原子性
- 如果 key 不存在,那么 key 的值会先被初始化为 0 ,然后再执行 INCR 操作。
- 它们是原子性递增或递减操作。
- 它们是原子性递增或递减操作。
注:INCR 命令是一个针对字符串的操作。 因为 Redis 并没有专用的整数类型, 所以键 key 储存的值在执行 INCR 命令时会被解释为十进制 64 位有符号整数。
三、代码案例
利用Redis的incr的原子递增特性,可以对接口访问做一个访问限制。结合SpringBoot,代码如下
@Resource
private RedisTemplate redisTemplate;
/**
* 接口调用次数限制,一分钟内同一手机号请求60次,即为恶意请求
* @param param 入参
*/
public boolean apiLimit(String param){
String num = "1";
//设置最大访问次数
int maxNum = 60;
//设置redis 递增key
String limitKey = "limit"+param;
//设置redis 黑名单key
String warnKey = "warn"+param;
Object res = redisService.get(limitKey);
if(ObjectUtils.isEmpty(res)) {
//初始一个redis缓存,值为“1”
redisService.set(limitKey,num,60);
return true;
}else {
//每次请求,值原子性加一
long resNum = redisTemplate.opsForValue().increment(limitKey, 1);
//比较递增后的值是否达到最大访问数
if (resNum > maxNum){
//如果超出最大访问数,拒绝改入参的接口访问,并设置黑名单5分钟
redisService.redisTemplate.opsForValue().set(warnKey,"访问过于频繁",5*60);
return false;
}else {
return true;
}
四、场景拓展
incr函数不仅可以用于防止重复请求,也可以使用到其他业务中:
- 针对购物系统中的秒杀活动,多个用户同时下单,请求并发访问
- 因网络问题导致的保存/查询等按钮重复点击、重复提交问题
- 分布式系统中的多线程并发安全问题等
