SpringBoot 防止接口恶意多次请求的操作

前言

刚写代码不就,还不能做深层次安全措施,今天研究了一下基本的防止接口多次恶意请求的方法。

思路

1:设置同一IP,一个时间段内允许访问的最大次数

2:记录所有IP单位时间内访问的次数

3:将所有被限制IP存到存储器

4:通过IP过滤访问请求

该demo只有后台Java代码,没有前端

代码

首先是获取IP的工具类

public class Ipsettings {
 public static String getRemoteHost(HttpServletRequest request) {
  String ipAddress = null;
  //ipAddress = request.getRemoteAddr();
  ipAddress = request.getHeader("x-forwarded-for");
  if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
   ipAddress = request.getHeader("Proxy-Client-IP");
  }
  if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
   ipAddress = request.getHeader("WL-Proxy-Client-IP");
  }
  if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
   ipAddress = request.getRemoteAddr();
   if(ipAddress.equals("127.0.0.1")){
    //根据网卡取本机配置的IP
    InetAddress inet=null;
    try {
     inet = InetAddress.getLocalHost();
    } catch (UnknownHostException e) {
     e.printStackTrace();
    }
    ipAddress= inet.getHostAddress();
   }
  }

  //对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
  if(ipAddress!=null && ipAddress.length()>15){ //"***.***.***.***".length() = 15
   if(ipAddress.indexOf(",")>0){
    ipAddress = ipAddress.substring(0,ipAddress.indexOf(","));
   }
  }
  return ipAddress;
 }
}

其次是监听器以及IP存储器

import java.util.HashMap;
import java.util.Map;
import javax.servlet.ServletContext;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import javax.servlet.annotation.WebListener;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
@WebListener
public class MyApplicationListener implements ServletContextListener {
 private Logger logger = LoggerFactory.getLogger(MyApplicationListener.class);
 @Override
 public void contextInitialized(ServletContextEvent sce) {
  logger.info("liting: contextInitialized");
  System.err.println("初始化成功");
  ServletContext context = sce.getServletContext();
  // IP存储器
  Map<String, Long[]> ipMap = new HashMap<String, Long[]>();
  context.setAttribute("ipMap", ipMap);
  // 限制IP存储器:存储被限制的IP信息
  Map<String, Long> limitedIpMap = new HashMap<String, Long>();
  context.setAttribute("limitedIpMap", limitedIpMap);
  logger.info("ipmap:"+ipMap.toString()+";limitedIpMap:"+limitedIpMap.toString()+"初始化成功。。。。。");
 }

 @Override
 public void contextDestroyed(ServletContextEvent sce) {
  // TODO Auto-generated method stub
 }
}

最后是具体规则设置

import java.io.IOException;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebFilter(urlPatterns="/*")
public class IpFilter implements Filter{

 /**
  * 默认限制时间(单位:ms)
  */
 private static final long LIMITED_TIME_MILLIS = 5 * 2 * 1000;

 /**
  * 用户连续访问最高阀值,超过该值则认定为恶意操作的IP,进行限制
  */
 private static final int LIMIT_NUMBER = 2;

 /**
  * 用户访问最小安全时间,在该时间内如果访问次数大于阀值,则记录为恶意IP,否则视为正常访问
  */
 private static final int MIN_SAFE_TIME = 5000;
 private FilterConfig config;

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {
  this.config = filterConfig; //设置属性filterConfig
 }

 /* (non-Javadoc)
  * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
  */
 @SuppressWarnings("unchecked")
 @Override
 public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)
   throws IOException, ServletException {
  HttpServletRequest request = (HttpServletRequest) servletRequest;
  HttpServletResponse response = (HttpServletResponse) servletResponse;
  ServletContext context = config.getServletContext();
  // 获取限制IP存储器:存储被限制的IP信息
  Map<String, Long> limitedIpMap = (Map<String, Long>) context.getAttribute("limitedIpMap");
  // 过滤受限的IP
  filterLimitedIpMap(limitedIpMap);
  // 获取用户IP
  String ip = Ipsettings.getRemoteHost(request);
  System.err.println("ip:"+ip);
  //以下是处理限制IP的规则,可以自己写
  // 判断是否是被限制的IP,如果是则跳到异常页面
  if (isLimitedIP(limitedIpMap, ip)) {
   long limitedTime = limitedIpMap.get(ip) - System.currentTimeMillis();
   // 剩余限制时间(用为从毫秒到秒转化的一定会存在些许误差,但基本可以忽略不计)
   request.setAttribute("remainingTime", ((limitedTime / 1000) + (limitedTime % 1000 > 0 ? 1 : 0)));
   //request.getRequestDispatcher("/error/overLimitIP").forward(request, response);
   System.err.println("ip访问过于频繁:"+ip);

   return;
  }
  // 获取IP存储器
  Map<String, Long[]> ipMap = (Map<String, Long[]>) context.getAttribute("ipMap");
  // 判断存储器中是否存在当前IP,如果没有则为初次访问,初始化该ip
  // 如果存在当前ip,则验证当前ip的访问次数
  // 如果大于限制阀值,判断达到阀值的时间,如果不大于[用户访问最小安全时间]则视为恶意访问,跳转到异常页面
  if (ipMap.containsKey(ip)) {
   Long[] ipInfo = ipMap.get(ip);
   ipInfo[0] = ipInfo[0] + 1;
   System.out.println("当前第[" + (ipInfo[0]) + "]次访问");
   if (ipInfo[0] > LIMIT_NUMBER) {
    Long ipAccessTime = ipInfo[1];
    Long currentTimeMillis = System.currentTimeMillis();
    if (currentTimeMillis - ipAccessTime <= MIN_SAFE_TIME) {
     limitedIpMap.put(ip, currentTimeMillis + LIMITED_TIME_MILLIS);
     request.setAttribute("remainingTime", LIMITED_TIME_MILLIS);
     System.err.println("ip访问过于频繁:"+ip);
     request.getRequestDispatcher("/error/overLimitIP").forward(request, response);
     return;
    } else {
     initIpVisitsNumber(ipMap, ip);
    }
   }
  } else {
   initIpVisitsNumber(ipMap, ip);
   System.out.println("您首次访问该网站");
  }
  context.setAttribute("ipMap", ipMap);
  chain.doFilter(request, response);
 }

 @Override
 public void destroy() {
  // TODO Auto-generated method stub
 }

 /**
  * @Description 过滤受限的IP,剔除已经到期的限制IP
  * @param limitedIpMap
  */
 private void filterLimitedIpMap(Map<String, Long> limitedIpMap) {
  if (limitedIpMap == null) {
   return;
  }
  Set<String> keys = limitedIpMap.keySet();
  Iterator<String> keyIt = keys.iterator();
  long currentTimeMillis = System.currentTimeMillis();
  while (keyIt.hasNext()) {
   long expireTimeMillis = limitedIpMap.get(keyIt.next());
   if (expireTimeMillis <= currentTimeMillis) {
    keyIt.remove();
   }
  }
 }

 /**
  * @Description 是否是被限制的IP
  * @param limitedIpMap
  * @param ip
  * @return true : 被限制 | false : 正常
  */
 private boolean isLimitedIP(Map<String, Long> limitedIpMap, String ip) {
  if (limitedIpMap == null || ip == null) {
   // 没有被限制
   return false;
  }
  Set<String> keys = limitedIpMap.keySet();
  Iterator<String> keyIt = keys.iterator();
  while (keyIt.hasNext()) {
   String key = keyIt.next();
   if (key.equals(ip)) {
    // 被限制的IP
    return true;
   }
  }
  return false;
 }

 /**
  * 初始化用户访问次数和访问时间
  *
  * @param ipMap
  * @param ip
  */
 private void initIpVisitsNumber(Map<String, Long[]> ipMap, String ip) {
  Long[] ipInfo = new Long[2];
  ipInfo[0] = 0L;// 访问次数
  ipInfo[1] = System.currentTimeMillis();// 初次访问时间
  ipMap.put(ip, ipInfo);
 }
}

然后再在启动类上加上注解扫描配置包

@ServletComponentScan(basePackages="扫描刚才的MyApplicationListener")

补充:springboot和redis控制单位时间内同个ip访问同个接口的次数

注:本文中的修改于网上一个错误的例子,不知道为什么一个错误的例子还被人疯狂转载,还都标着原创。。。具体是那个这里就不指出了!

第一步:自定义一个注解

注:其实完全没必要(这样做的唯一好处就是每个接口与的访问限制次数都可以不一样)。。但是注解这个东西自从培训结束后没有在用到过,决定还是再复习下

package com.mzd.redis_springboot_mybatis_mysql.limit;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import java.lang.annotation.*;
/**
 * @Retention:注解的保留位置
 * @Retention(RetentionPolicy.SOURCE) //注解仅存在于源码中,在class字节码文件中不包含
 * @Retention(RetentionPolicy.CLASS) // 默认的保留策略,注解会在class字节码文件中存在,但运行时无法获得,
 * @Retention(RetentionPolicy.RUNTIME) // 注解会在class字节码文件中存在,在运行时可以通过反射获取到
 */
@Retention(RetentionPolicy.RUNTIME)
/**
 * @Target:注解的作用目标
 * @Target(ElementType.TYPE) //接口、类、枚举、注解
 * @Target(ElementType.FIELD) //字段、枚举的常量
 * @Target(ElementType.METHOD) //方法
 * @Target(ElementType.PARAMETER) //方法参数
 * @Target(ElementType.CONSTRUCTOR) //构造函数
 * @Target(ElementType.LOCAL_VARIABLE) //局部变量
 * @Target(ElementType.ANNOTATION_TYPE) //注解
 * @Target(ElementType.PACKAGE) ///包
 */
@Target(ElementType.METHOD)
/**
 * @Document 说明该注解将被包含在javadoc中
 */
@Documented
/**
 * Ordered接口是由spring提供的,为了解决相同接口实现类的优先级问题
 */
//最高优先级- - - 个人觉得这个在这里没必要加
//@order,使用注解方式使类的加载顺序得到控制
@Order(Ordered.HIGHEST_PRECEDENCE)
public @interface RequestTimes {
 //单位时间允许访问次数 - - -默认值是2
 int count() default 2;
 //设置单位时间为1分钟 - - - 默认值是1分钟
 long time() default 60 * 1000;
}

Ordered:

1、接口内容:我们可以打开这个接口查看它的源码

我们可以看到这个接口中只有一个方法两个属性,一个是int的最小值,另一个是int的最大值

2、OrderComparator接口: PriorityOrdered是个接口,是Ordered接口的子类,并没有实现任何方法

这个Comparator方法的逻辑大致是:

PriorityOrdered的优先级高于Ordered

如果两个都是Ordered或者PriorityOrdered就比较他们的order值,order值越大,优先级越小

第二步:定义一个aop

package com.mzd.redis_springboot_mybatis_mysql.limit;
import com.mzd.redis_springboot_mybatis_mysql.bean.generator.Student;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import javax.servlet.http.HttpServletRequest;
import java.util.concurrent.TimeUnit;
//使用@Aspect注解将一个java类定义为切面类
@Aspect
@Component
public class RequestTimesAop {
 @Autowired
 private RedisTemplate<String, String> redisTemplate;
 //切面范围
 @Pointcut("execution(public * com.mzd.redis_springboot_mybatis_mysql.controller.*.*(..))")
 public void WebPointCut() {
 }
 @Before("WebPointCut() && @annotation(times)")
 /**
  * JoinPoint对象封装了SpringAop中切面方法的信息,在切面方法中添加JoinPoint参数,就可以获取到封装了该方法信息的JoinPoint对象.
  */
 public void ifovertimes(final JoinPoint joinPoint, RequestTimes times) {
  try {
   //java.lang.Object[] getArgs():获取连接点方法运行时的入参列表;
   //Signature getSignature() :获取连接点的方法签名对象;
   //java.lang.Object getTarget() :获取连接点所在的目标对象;
   //java.lang.Object getThis() :获取代理对象本身;
   //####################################################################
   /**
    * 比如:获取连接点方法运行时的入参列表
    * 不足:如果连接点方法中没有request参数的话,就没法获取request,如果不做处理的话,会报空指针异常的
    * 但是所有请求怎么可能没有request
    */
//   Object[] objects = joinPoint.getArgs();
//   HttpServletRequest request = null;
//   for (int i = 0; i < objects.length; i++) {
//    if (objects[i] instanceof HttpServletRequest) {
//     request = (HttpServletRequest) objects[i];
//     break;
//    }
//   }
   //####################################################################
   /**
    * 另一种获取request
    */
   ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
   HttpServletRequest request = attributes.getRequest();
   String ip = request.getRemoteAddr();
   String url = request.getRequestURL().toString();
   String key = "ifovertimes".concat(url).concat(ip);
   //访问次数加一
   long count = redisTemplate.opsForValue().increment(key, 1);
   //如果是第一次,则设置过期时间
   if (count == 1) {
    redisTemplate.expire(key, times.time(), TimeUnit.MILLISECONDS);
   }
   if (count > times.count()) {
    request.setAttribute("ifovertimes", "true");
   } else {
    request.setAttribute("ifovertimes", "false");
   }
  } catch (Exception e) {
   e.printStackTrace();
  }
 }
}

提问:就是在aop方法中返回的值在controller层值如何才能获得,比如:ifovertimes这个方法返回的String类型的值,那我在controller层如何获得这个值。我现在是将这个值放在了request域里面,不知道有没有别的更好的值。。。求大神帮助啊。。。

第三步:写一个测试接口

 @RequestTimes(count = 3, time = 60000)
 @RequestMapping("hello.do")
 public String hello(String username, HttpServletRequest request) {
  System.out.println(request.getAttribute("ifovertimes"));
  if (request.getAttribute("ifovertimes").equals("false")) {
   System.out.println(username);
   return "hello redis_springboot_mybatis_mysql";
  }
  return "HTTP请求超出设定的限制";
 }

总结:

这是一个完全可以跑的例子,当然,springboot集成redis这里就不讲了。。。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持我们。如有错误或未考虑完全的地方,望不吝赐教。

(0)

相关推荐

  • SpringBoot项目如何把接口参数中的空白值替换为null值(推荐)

    问题发生 我们公司代码生成的时候,查询列表统一都是使用了setEntity() ,查询写法如下: public List<BasReservoirArea> selectList(BasReservoirArea basReservoirArea) { QueryWrapper<BasReservoirArea> where = new QueryWrapper<>(); where.setEntity(basReservoirArea); return baseMap

  • Springboot单体架构http请求转换https请求来支持微信小程序调用接口

    http请求转换https请求 1.话不多说,直接上代码! application.properties配置文件 #(密钥文件路径,也可以配置绝对路径) server.ssl.key-store= classpath:证书文件名.pfx #(密钥生成时输入的密钥库口令) server.ssl.key-store-password:123456 #(密钥类型,与密钥生成命令一致) server.ssl.key-store-type:PKCS12 证书一般最好放在resources目录下 接下来配置

  • Springboot 扫描mapper接口的2种操作

    方式一: 在所有mapper接口使用@Mapper注解 @Mapper (将包中的所有接口都标注为DAO层接口) public interface UserMapper { UserInfo getUserInfo(@Param("userId") String userId); } 方式二: 在springboot的启动类使用@MapperScan注解 (作用:将指定包中的所有接口都标注为DAO层接口,相当于在每一个接口上写@Mapper) @SpringBootApplicatio

  • springboot基于过滤器实现接口请求耗时统计操作

    Spring Boot中实现一个过滤器相当简单,实现javax.servlet.Filter接口即可. 下面以实现一个记录接口访问日志及请求耗时的过滤器为例: 1.定义ApiAccessFilter类,并实现Filter接口 @Slf4j @WebFilter(filterName = "ApiAccessFilter", urlPatterns = "/*") public class ApiAccessFilter implements Filter { @Ov

  • 使用SpringBoot跨系统调用接口的方案

    一.简介 项目开发中存在系统之间互调问题,又不想用dubbo,这里提供几种springboot方案: 1.使用Feign进行消费(推荐) 2.使用原始httpClient请求 3.使用RestTemplate方法 二.方案 方案一:使用Feign进行消费(推荐) 1.在maven中添加依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-st

  • SpringBoot 防止接口恶意多次请求的操作

    前言 刚写代码不就,还不能做深层次安全措施,今天研究了一下基本的防止接口多次恶意请求的方法. 思路 1:设置同一IP,一个时间段内允许访问的最大次数 2:记录所有IP单位时间内访问的次数 3:将所有被限制IP存到存储器 4:通过IP过滤访问请求 该demo只有后台Java代码,没有前端 代码 首先是获取IP的工具类 public class Ipsettings { public static String getRemoteHost(HttpServletRequest request) {

  • SpringBoot与Postman实现REST模拟请求的操作

    前言 Postman是一款Http请求模拟工具.它可以模拟各种Http Request,使用起来十分的方便. 使用背景 利用Spring Boot 快速搭建一个Web应用,利用相同的url,不同的请求方式来调用不同的方法.最后利用Postman工具模拟实现. 实现方法 利用IDEA快速构建应用环境 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif

  • SpringBoot+Redis防止恶意刷新与暴力请求接口的实现

    目录 配置 目录结构 实现代码 本项目采用 springboot+Redis的方式来实现:所采用的全部参考文献在文末,包括软件的安装.测试等等 实验环境: centos 7 安装Redis ,采用wget安装, IDE :IDEA 配置 pom文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"

  • Spring Boot 防止接口恶意刷新和暴力请求的实现

    在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过intercept和redis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的: 首先工程为springboot框架搭建,不再详细叙述.直接上核心代码. 首先创建一个自定义的拦截器类,也是最核心的代码; /** * @package: com.technicalinterest.group.interceptor * @c

  • springboot vue测试平台接口定义及发送请求功能实现

    目录 基于 springboot+vue 的测试平台开发 一.http客户端选型 二.后端接口实现 1. controller 层 2. service 层 三.前端实现 四.修改遗留 bug 基于 springboot+vue 的测试平台开发 继续更新 添加的接口,我要来调试确定是否是通的,那么要发送接口请求,今天来实现这个功能,先预览一下: 捋一下思路,分为三步走: 点击发送按钮,调用后端接口后端接口处理内部,发送http接口请求后端接口把响应返回给前端展示 一.http客户端选型 为了更方

  • SpringBoot + validation 接口参数校验的思路详解

    有参数传递的地方都少不了参数校验.在web开发中,前端的参数校验是为了用户体验,后端的参数校验是为了安全.试想一下,如果在controller层中没有经过任何校验的参数通过service层.dao层一路来到了数据库就可能导致严重的后果,最好的结果是查不出数据,严重一点就是报错,如果这些没有被校验的参数中包含了恶意代码,那就可能导致更严重的后果. 实践 一.引入依赖 <!--引入spring-boot-starter-validation--> <dependency> <gr

  • SpringBoot实现接口幂等性的4种方案

    一.什么是幂等性 幂等是一个数学与计算机学概念,在数学中某一元运算为幂等时,其作用在任一元素两次后会和其作用一次的结果相同. 在计算机中编程中,一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同.幂等函数或幂等方法是指可以使用相同参数重复执行,并能获得相同结果的函数.这些函数不会影响系统状态,也不用担心重复执行会对系统造成改变. 二.什么是接口幂等性 在HTTP/1.1中,对幂等性进行了定义.它描述了一次和多次请求某一个资源对于资源本身应该具有同样的结果(网络超时等问题除外),

  • 浅谈spring-boot 允许接口跨域并实现拦截(CORS)

    本文介绍了spring-boot 允许接口跨域并实现拦截(CORS),分享给大家,也给自己留个笔记 pom.xml(依赖的jar) // 在spring-boot-starter-web的启动器中,已经依赖好了 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependen

  • SpringBoot实现接口数据的加解密功能

    一.加密方案介绍 对接口的加密解密操作主要有下面两种方式: 自定义消息转换器 优势:仅需实现接口,配置简单. 劣势:仅能对同一类型的MediaType进行加解密操作,不灵活. 使用spring提供的接口RequestBodyAdvice和ResponseBodyAdvice 优势:可以按照请求的Referrer.Header或url进行判断,按照特定需要进行加密解密. 比如在一个项目升级的时候,新开发功能的接口需要加解密,老功能模块走之前的逻辑不加密,这时候就只能选择上面的第二种方式了,下面主要

  • SpringBoot+Vue前后端分离实现请求api跨域问题

    前言 最近过年在家无聊,刚好有大把时间学习Vue,顺便做了一个增删查改+关键字匹配+分页的小dome,可是使用Vue请求后端提供的Api的时候确发现一个大问题,前后端分离了,但是请求的时候也就必定会有跨域这种问题,那如何解决呢? 前端解决方案 思路:由于Vue现在大多数项目但是用脚手架快速搭建的,所以我们可以直接在项目中创建一个vue.config.js的配置文件,然后在里面配置proxy代理来解决,话不多说,直接上代码 module.exports = { devServer: { proxy

随机推荐