首页 > 其他分享 >Spring Boot 防止接口被恶意刷新、暴力请求

Spring Boot 防止接口被恶意刷新、暴力请求

时间:2023-02-19 11:24:32浏览次数:39  
标签:ip return Spring redisLettuceLock Boot private 接口 IP param

​在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过Spring Boot提供的HandlerInterceptor和Redis 针对 Url + ip在一定时间内访问的次数来将ip禁用,可以根据自己的业务需求进行相应的修改,以达到自己的目的。

首先创建一个自定义的拦截器类,也是最核心的代码。

/**
 * @ProjectName: cdkj-framework
 * @Package: com.cdkjframework.core.spring.filter
 * @ClassName: FilterHandlerInterceptor
 * @Description: 拦截过滤
 * @Author: xiaLin
 * @Date: 2022/6/22 13:36
 * @Version: 1.0
 */
public class FilterHandlerInterceptor implements HandlerInterceptor {

  /**
   * 日志
   */
  private LogUtils logUtils = LogUtils.getLogger(FilterHandlerInterceptor.class);

  /**
   * redis锁
   */
  private final RedisLettuceLock redisLettuceLock;

  /**
   * IP头部变量(可能通过Nginx代理后)
   */
  private static final String HEADER_IP = "X-Real-IP";

  /**
   * 锁IP请求URL地址KEY
   */
  private static final String LOCK_IP_URL_KEY = "lock_ip_";

  /**
   * IP请求URL地址时间
   */
  private static final String IP_URL_REQ_TIME = "ip_url_times_";

  /**
   * 极限时间
   */
  private static final long LIMIT_TIMES = 5;

  /**
   * IP锁定时间 秒
   */
  private static final int IP_LOCK_TIME = 60;

  /**
   * 构建函数
   */
  public FilterHandlerInterceptor(RedisLettuceLock redisLettuceLock) {
    this.redisLettuceLock = redisLettuceLock;
  }

  /**
   * 预处理
   *
   * @param request  请求
   * @param response 响应
   * @param o        参数
   * @return 返回结果
   * @throws Exception 异常信息
   */
  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
    String ip = request.getHeader(HEADER_IP);
    if (StringUtils.isNullAndSpaceOrEmpty(ip)) {
      ip = request.getRemoteAddr();
    }
    logUtils.info("request 请求地址 Uri={},ip={}", request.getRequestURI(), ip);
    if (ipIsLock(ip)) {
      logUtils.info("ip访问被禁止={}", ip);
      ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");
      returnJson(response, builder);
      return false;
    }
    if (!addRequest(ip, request.getRequestURI())) {
      ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");
      returnJson(response, builder);
      return false;
    }
    return true;
  }

  @Override
  public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

  }

  @Override
  public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

  }

  /**
   * IP 是否已锁
   *
   * @param ip IP 地址
   * @return 返回是否成功
   */
  private Boolean ipIsLock(String ip) {
    if (redisLettuceLock.lock(LOCK_IP_URL_KEY + ip)) {
      return true;
    }
    return false;
  }

  /**
   * 添加请求信息
   *
   * @param ip  IP 地址
   * @param uri 请求路径
   * @return 返回是否成功
   */
  private Boolean addRequest(String ip, String uri) {
    String key = IP_URL_REQ_TIME + ip + uri;
    if (RedisUtils.syncExists(key)) {
      long time = RedisUtils.syncIncr(key, IntegerConsts.ONE);
      if (time >= LIMIT_TIMES) {
        redisLettuceLock.lock(LOCK_IP_URL_KEY + ip, IP_LOCK_TIME, ip);
        return false;
      }
    } else {
      redisLettuceLock.lock(key, (long) IntegerConsts.ONE, IntegerConsts.ONE);
    }
    return true;
  }

  /**
   * 返回结果
   *
   * @param response 响应
   * @param builder  返回结果
   * @throws Exception 异常信息
   */
  private void returnJson(HttpServletResponse response, ResponseBuilder builder) throws Exception {
    ResponseUtils.out(response, builder);
  }
}

  最后将上面自定义的拦截器通过WebMvcConfigurer下的registry.addInterceptor添加一下,就生效了。

/**
 * @ProjectName: cdkj-framework
 * @Package: com.cdkjframework.core.spring.filter
 * @ClassName: WebMvcFilterConfigurerAdapter
 * @Description: java类作用描述
 * @Author: xiaLin
 * @Date: 2022/6/22 13:37
 * @Version: 1.0
 */
@RequiredArgsConstructor
public class WebMvcFilterConfigurerAdapter implements WebMvcConfigurer {

    /**
     * redis锁
     */
    private final RedisLettuceLock redisLettuceLock;

    /**
     * 过虑句柄拦截器
     *
     * @return 返回拦截器
     */
    @Bean
    private FilterHandlerInterceptor filterHandlerInterceptor() {
        return new FilterHandlerInterceptor(redisLettuceLock);
    }

    /**
     * 添加 拦截器
     *
     * @param registry 拦截器注册
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(filterHandlerInterceptor()).addPathPatterns("/**");
    }
}

  自己可以写一个for循环来测试改功能,这里就不具体详细介绍了。

文章中的工具类可参考:https://gitee.com/cdkjframework/common/tree/1.0.2/

标签:ip,return,Spring,redisLettuceLock,Boot,private,接口,IP,param
From: https://www.cnblogs.com/cdkj/p/17134389.html

相关文章

  • Spring AOP入门
    SpringAOP入门1.导入坐标<dependency><groupId>org.springframework</groupId><artifactId>spring-context</artifactId>......
  • Spring.AOP下的 hello world !
    此方法只做演示,项目中不使用项目中用annotation此代码输出"World"packagecom.test532;publicclassMessageWriter{publicvoidwriteMess......
  • Spring 中创建通知
    AspectJ来做。AspectJ是什么东西?没用过。。。前置通知  接口:org.springframework.aop.MethodBeforeAdvice说明:使用前置通知可以在连接点执行前进行自定义的操作......
  • 自定义标签中 如何使用 Spring 的 ioc
    自定义标签,继承了BodyTagSupport 在标签类上加了@Component,还是无法使用IOC,不知道为啥。 @AutowiredprivateForumPostsMngforumPostsMng; 调用forumPosts时,抛空异......
  • Spring AOP annotation 简单实例
    最后输出(可以看出各种通知的时间): 我是前置通知。我是环绕--进。aa已成功保存我是后置通知。我是最终通知。我是环绕--出。 app.xml:<?xmlversion="1.0"encoding......
  • solon框架AopContext 接口详解
    AopContext接口beanMake(Class<?>clz)使用场景:在开发插件(或在一些特殊条件下),自动扫描组件没有被扫描到,一般是因为要注册的组件没有在启动类的包下。//启动类所在包为......
  • 基于 springboot + mybatis-plus + MySQL 重构过去一个项目的记录(持续更新)
     思维导图链接:https://boardmix.cn/app/share?token=Qs5kGTyiYZ17sWf8AiBbv_8mO1O5qgHlipZ7ECuQldD2FeyMfWBZWyjl-sUyDPmx7g6rysDzNYQ4jBWAWgcSGsZpR9CRotY58UnDm0foVHY=......
  • CICD流水线 Jenkins + Docker compose 分环境 一键部署SpringCloud项目
    一、环境准备接上篇:上篇搭建好了Jenkins 环境 并把docker-compose.yml Dockerfile 相关jar包推送到了目标服务器。二、分环境部署1、SpringBoot配置pom.xml<pro......
  • SpringBoot中统一API返回格式的两种方式
    微服务中,由于各业务团队之间的对接,各个团队之间需要统一返回格式,这样解析时不容易出现错误。因此,有必要统一返回格式。下面我说下项目中常见的两种统一和变更返回值格式的......
  • 接口
    接口概念接口的实例化类似于向上转型。接口是一种约束、规定。实现该接口的类必须实现接口的所有抽象方法。多个类实现该接口后,该接口还可以声明实现类的对象,然后调用接......