接口被惡意狂刷,怎么辦?
作者: 田維常
判斷是否為相同請(qǐng)求,使用:URI+userId+日期。即Redis的key=URI+userId+yyyyMMdd,緩存有效期為一天。很多都在代碼里有注釋了,另外強(qiáng)調(diào)一下,不要吐槽代碼,僅僅是演示。
下面是原本面試現(xiàn)場(chǎng):
面試官:接口被惡意狂刷,怎么辦?
我:這個(gè)沒搞過(每天CRUD,真的沒搞過)
面試官:如果現(xiàn)在讓你來(lái)設(shè)計(jì),你會(huì)怎么設(shè)計(jì)?
我:巴拉巴拉...胡扯一通
面試官:(帶著不耐煩的表情)我們還是換個(gè)話題吧
.....
為了不讓大家也和我有同樣的遭遇,今天,咱們就用一個(gè)非常簡(jiǎn)單的方式實(shí)現(xiàn)防刷:
一個(gè)注解搞定防刷
技術(shù)點(diǎn)
涉及到的技術(shù)點(diǎn)有如下幾個(gè):
- 自定義注解
- 攔截器
- Redis的基本操作
- Spring Boot項(xiàng)目
其實(shí),非常簡(jiǎn)單,主要的還是看業(yè)務(wù)。
本文主要內(nèi)容:
自定義注解
自定義一注解AccessLimit。
- import java.lang.annotation.Retention;
- import java.lang.annotation.Target;
- import static java.lang.annotation.ElementType.METHOD;
- import static java.lang.annotation.RetentionPolicy.RUNTIME;
- @Retention(RUNTIME)
- @Target(METHOD)
- public @interface AccessLimit {
- //次數(shù)上限
- int maxCount();
- //是否需要登錄
- boolean needLogin()default false;
- }
添加Redis配置項(xiàng)
在配置文件中,加入Redis配置;
- spring.redis.database=0
- spring.redis.host=127.0.0.1
- spring.redis.port=6379
- spring.redis.jedis.pool.max-active=100
- spring.redis.jedis.pool.max-idle=100
- spring.redis.jedis.pool.min-idle=10
- spring.redis.jedis.pool.max-wait=1000ms
注意,把Redis的starter在pom中引入。
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-data-redis</artifactId>
- </dependency>
創(chuàng)建攔截器
創(chuàng)建攔截器,所有請(qǐng)求都進(jìn)行攔截,防刷的主要內(nèi)容全部在這里。
- // 一堆import 這里就不貼出來(lái)了,需要的自己導(dǎo)入
- /**
- * 處理方法上 有 AccessLimitEnum 注解的方法
- * @author java后端技術(shù)全棧
- * @date 2021/8/6 15:42
- */
- @Component
- public class FangshuaInterceptor extends HandlerInterceptorAdapter {
- @Resource
- private RedisTemplate<String,Object> redisTemplate;
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
- System.out.println("----FangshuaInterceptor-----");
- //判斷請(qǐng)求是否屬于方法的請(qǐng)求
- if (handler instanceof HandlerMethod) {
- HandlerMethod hm = (HandlerMethod) handler;
- //檢查方法上室友有AccessLimit注解
- AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
- if (accessLimit == null) {
- return true;
- }
- //獲取注解中的參數(shù),
- int maxCount = accessLimit.maxCount();
- boolean login = accessLimit.needLogin();
- String key = request.getRequestURI();
- //防刷=同一個(gè)請(qǐng)求路徑+同一個(gè)用戶+當(dāng)天
- //如果需要登錄
- if (login) {
- //可以充session中獲取user相關(guān)信息
- //這里的userId暫時(shí)寫死,
- Long userId = 101L;
- String currentDay = format(new Date(), "yyyyMMdd");
- key += currentDay + userId;
- }else{
- //可以根據(jù)用戶使用的ip+日期進(jìn)行判斷
- }
- //從redis中獲取用戶訪問的次數(shù)
- Object countCache = redisTemplate.opsForValue().get(key);
- if (countCache == null) {
- //第一次訪問,有效期為一天
- //時(shí)間單位自行定義
- redisTemplate.opsForValue().set(key,1,86400, TimeUnit.SECONDS);
- } else{
- Integer count = (Integer)countCache;
- if (count < maxCount) {
- //加1
- count++;
- //也可以使用increment(key)方法
- redisTemplate.opsForValue().set(key,count);
- } else {
- //超出訪問次數(shù)
- render(response, "訪問次數(shù)已達(dá)上限!");
- return false;
- }
- }
- }
- return true;
- }
- //僅僅是為了演示哈
- private void render(HttpServletResponse response, String msg) throws Exception {
- response.setContentType("application/json;charset=UTF-8");
- OutputStream out = response.getOutputStream();
- out.write(msg.getBytes("UTF-8"));
- out.flush();
- out.close();
- }
- //日期格式
- public static String format(Date date, String formatString) {
- if (formatString == null) {
- formatString = DATE_TIME_FORMAT;
- }
- DateFormat dd = new SimpleDateFormat(formatString);
- return dd.format(date);
- }
- }
注意
判斷是否為相同請(qǐng)求,使用:URI+userId+日期。即Redis的key=URI+userId+yyyyMMdd,緩存有效期為一天。
很多都在代碼里有注釋了,另外強(qiáng)調(diào)一下,不要吐槽代碼,僅僅是演示。
注冊(cè)攔截器
盡管上面我們已經(jīng)自定義并實(shí)現(xiàn)好了攔截器,但還需要我們手動(dòng)注冊(cè)。
- import com.example.demo.ExceptionHander.FangshuaInterceptor;
- import org.springframework.beans.factory.annotation.Autowired;
- import org.springframework.context.annotation.Configuration;
- import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
- import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
- @Configuration
- public class WebConfig extends WebMvcConfigurerAdapter {
- @Autowired
- private FangshuaInterceptor interceptor;
- @Override
- public void addInterceptors(InterceptorRegistry registry) {
- registry.addInterceptor(interceptor);
- }
- }
這樣我們的注解就正式注冊(cè)到攔截器鏈中了,后面項(xiàng)目中才會(huì)有效。
使用注解
前面的準(zhǔn)備都搞定了,現(xiàn)在來(lái)具體使用。
首先,我們創(chuàng)建一個(gè)簡(jiǎn)單的controller,然后,在方法上加上我們自定義的注解AccessLimit,就可以實(shí)現(xiàn)接口防刷了。
- import com.example.demo.result.Result;
- import org.springframework.stereotype.Controller;
- import org.springframework.web.bind.annotation.RequestMapping;
- import org.springframework.web.bind.annotation.ResponseBody;
- @Controller
- public class FangshuaController {
- //具體請(qǐng)求次數(shù)由具體業(yè)務(wù)決定,以及是否需要登錄
- @AccessLimit(maxCount=5, needLogin=true)
- @RequestMapping("/fangshua")
- @ResponseBody
- public Object fangshua(){
- return "請(qǐng)求成功";
- }
- }
測(cè)試,瀏覽器頁(yè)面上訪問:http://localhost:8080/fangshua
前面4次返回的是:請(qǐng)求成功
超過4次后變成:訪問次數(shù)已達(dá)上限!
一個(gè)注解就搞定了,是不是 so easy !!!
總結(jié)
關(guān)于接口防刷,如果在面試中被問到,至少還是能說(shuō)個(gè)123了。也建議大家手動(dòng)試試,自己搞出來(lái)了更帶勁兒。
責(zé)任編輯:武曉燕
來(lái)源:
Java后端技術(shù)全棧
