Spring Boot教程十七:防止接口惡意刷新和暴力請求

原創 wang_shuyu 2020-06-21 09:01

在實際項目使用中,必須要考慮服務的安全性,當服務部署到互聯網以後,就要考慮服務被惡意請求和暴力攻擊的情況,下面的教程,通過intercept和redis針對url+ip在一定時間內訪問的次數來將ip禁用,可以根據自己的需求進行相應的修改,來打打自己的目的;

首先工程爲springboot框架搭建,不再詳細敘述。直接上核心代碼。

首先創建一個自定義的攔截器類,也是最核心的代碼;

/**
 * @package: com.technicalinterest.group.interceptor
 * @className: IpUrlLimitInterceptor
 * @description: ip+url重複請求現在攔截器
 * @author: Shuyu.Wang
 * @date: 2019-10-12 12:34
 * @since: 0.1
 **/
@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {


	private RedisUtil getRedisUtil() {
		return  SpringContextUtil.getBean(RedisUtil.class);
	}

	private static final String LOCK_IP_URL_KEY="lock_ip_";

	private static final String IP_URL_REQ_TIME="ip_url_times_";

	private static final long LIMIT_TIMES=5;

	private static final int IP_LOCK_TIME=60;

	@Override
	public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
		log.info("request請求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest));
		if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){
			log.info("ip訪問被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));
			ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
			returnJson(httpServletResponse, JSON.toJSONString(result));
			return false;
		}
		if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){
			ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
			returnJson(httpServletResponse, JSON.toJSONString(result));
			return false;
		}
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

	}

	@Override
	public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

	}

	/**
	 * @Description: 判斷ip是否被禁用
	 * @author: shuyu.wang
	 * @date: 2019-10-12 13:08
	 * @param ip
	 * @return java.lang.Boolean
	 */
	private Boolean ipIsLock(String ip){
		RedisUtil redisUtil=getRedisUtil();
		if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){
			return true;
		}
		return false;
	}
	/**
	 * @Description: 記錄請求次數
	 * @author: shuyu.wang
	 * @date: 2019-10-12 17:18
	 * @param ip
	 * @param uri
	 * @return java.lang.Boolean
	 */
	private Boolean addRequestTime(String ip,String uri){
		String key=IP_URL_REQ_TIME+ip+uri;
		RedisUtil redisUtil=getRedisUtil();
		if (redisUtil.hasKey(key)){
			long time=redisUtil.incr(key,(long)1);
			if (time>=LIMIT_TIMES){
				redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);
				return false;
			}
		}else {
			redisUtil.getLock(key,(long)1,1);
		}
		return true;
	}

	private void returnJson(HttpServletResponse response, String json) throws Exception {
		PrintWriter writer = null;
		response.setCharacterEncoding("UTF-8");
		response.setContentType("text/json; charset=utf-8");
		try {
			writer = response.getWriter();
			writer.print(json);
		} catch (IOException e) {
			log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);
		} finally {
			if (writer != null) {
				writer.close();
			}
		}
	}


}

代碼中redis的使用的是分佈式鎖的形式,這樣可以最大程度保證線程安全和功能的實現效果。代碼中設置的是1S內同一個接口通過同一個ip訪問5次,就將該ip禁用1個小時,根據自己項目需求可以自己適當修改,實現自己想要的功能;

redis分佈式鎖的關鍵代碼:

/**
 * @package: com.shuyu.blog.util
 * @className: RedisUtil
 * @description:
 * @author: Shuyu.Wang
 * @date: 2019-07-14 14:42
 * @since: 0.1
 **/
@Component
@Slf4j
public class RedisUtil {

	private static final Long SUCCESS = 1L;

	@Autowired
	private RedisTemplate<String, Object> redisTemplate;
	// =============================common============================

	

	/**
	 * 獲取鎖
	 * @param lockKey
	 * @param value
	 * @param expireTime:單位-秒
	 * @return
	 */
	public boolean getLock(String lockKey, Object value, int expireTime) {
		try {
			log.info("添加分佈式鎖key={},expireTime={}",lockKey,expireTime);
			String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";
			RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
			Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);
			if (SUCCESS.equals(result)) {
				return true;
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		return false;
	}

	/**
	 * 釋放鎖
	 * @param lockKey
	 * @param value
	 * @return
	 */
	public boolean releaseLock(String lockKey, String value) {
		String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";
		RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
		Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);
		if (SUCCESS.equals(result)) {
			return true;
		}
		return false;
	}

}

最後將上面自定義的攔截器通過registry.addInterceptor添加一下,就生效了;

@Configuration
@Slf4j
public class MyWebAppConfig extends WebMvcConfigurerAdapter {
    @Bean
	IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
    	return new IpUrlLimitInterceptor();
	}

 @Override
    public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

自己可以寫一個for循環來測試方面的功能,這裏就不詳細介紹了;

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring boot 多數據源配置(Mybatics+JPA)

Spring boot 配置數據源 spring: mvc: favicon: enabled: false datasource: primary: username: root

路漫漫走 2020-07-08 11:46:00

文件上傳格式,後臺接收處理

前端上傳文件 1. file格式 創建formData來完成file上傳 <input type="file" id="imgfile" name="pic" multiple> <script> $("#imgfile

换个新手机 2020-07-08 12:43:13

[SpringBoot]圖解SpringBoot啓動流程+獲取配置流程

一、springboot運行流程 1、springboot獲取配置的流程 上圖是對springboot獲取配置流程的簡單總結。 運行主程序時,調用了@SpringBootApplication註解,這個註解又包含一個@Impo

童话ing 2020-07-08 12:13:46

正則表達式獲取Maven依賴中的groupId

用於打包時剔除第三方jar包 mvn dependency:tree | grep '[\W\w]*:[a-zA-Z0-9_\.-]*:[a-zA-Z0-9]*:[a-zA-Z0-9\.-]*:[a-zA-Z0-9]*' |

路漫漫走 2020-07-08 11:45:59

pom文件中 dependencyManagement 和dependency區別

Maven 使用dependencyManagement元素來提供了一種管理依賴版本號的方式 通常會在一個組織或者項目的最頂層的父pom中看到dependencyManagement元素。 使用pom.xml中的dependencyMan

时光有伱记忆成花 2020-07-08 10:06:42

springboot獲取applicationcontext

題記:         使用springboot之前,我們通過ClassPathXmlApplicationContext加載spring xml配置文件來獲取applicationcontext,使用springboot後,由於不存在x

w893932747 2020-07-08 08:34:12

Java日誌系統:log4j/logback/log4j2/slf4j統一日誌標準

日誌的實現各自有各自的不同,如果一個項目中引入了很多依賴,每個依賴又用了不同的日誌實現,配置日誌的時候就會非常麻煩,所以有了上面的門面接口。其中用的最多的是slf4j slf4j 案例: log4j: 1. 添加依賴: <depend

搁浅... 2020-07-08 08:19:00

H2數據庫入門,看這篇就對了

H2數據庫是一個開源的關係型數據庫。 H2是一個採用java語言編寫的嵌入式數據庫引擎,只是一個類庫(即只有一個 jar 文件),可以直接嵌入到應用項目中,不受平臺的限制 應用場景: 可以同應用程序打包在一起發佈,可以非常方便地

不敲代码的攻城狮 2020-07-08 07:39:40

如何SpringBoot項目部署到Centos虛擬機中

將SpringBoot項目部署到Centos虛擬機中 一、在IDEA中將項目打成Jar包 二、利用遠程連接工具(Xshell,Xftp…)連接到Centos 可以看到項目已經啓動成功… 三、在外部瀏覽器上測試部署是否成功

RelyC 2020-07-08 06:30:04

SpringBoot之自定義Starter

Springboot之自定義Starter 一、簡介 Springboot中包含很多starter(啓動器),來對應不同的使用場景,大大簡化了我們日常使用的技術整合難度,只需要簡單的配置就可以使用各種場景。但是Springboot

易水墨龙吟 2020-07-08 06:13:25

Spring boot中集成Spring Security後CSS靜態資源攔截問題

問題描述 在使用Spring boot + Spring Security整合的時候,Spring Security對登陸進行了響應的處理操作,但是在進入登陸頁的時候,出現頁面報錯,頁面佈局全部錯亂的問題,查看原因發現是CSS與JS等靜態

彧卿丶 2020-07-08 01:45:52

Camunda工作流引擎 I

實習工作中需要用到工作流引擎,去實現業務審批流的功能模塊,由於 Flowable 不支持 MariaDB (重要原因之一),所以項目中選擇了 Camunda 工作流引擎。 由於沒有接觸過工作流引擎,所以打算藉此機會詳細記錄一下這個

相信天道酬勤的M1ng 2020-07-08 00:53:38

解決SpringBoot+Mybatis項目中使用達夢數據庫,但達夢數據庫驅動包從maven下載不在來的問題!

首先這是一個大坑!!!從maven是無法下載達夢數據的驅動包的!這個和網絡無關,找了好久都說是網絡問題,刪掉本地倉庫,再下載一次就好了.....[害人不淺] 我遇到的問題是在pom文件中的dependenc裏面是不報錯的,但是在maven

码农峰酱 2020-07-08 00:12:42

SpringBoot 跨域配置類

跨域配置類 import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.ann

Future_LL 2020-07-07 21:46:19

SpringBoot——Web開發四(配置嵌入式Servlet容器)

1.背景 SpringBoot默認使用Tomcat作爲嵌入式的Servlet容器。 2.如何定製和修改Servlet容器的相關配置 1.修改與server相關的配置 server.port=8081 server.context-pa

WYFVV 2020-07-07 18:17:46