首页 > 其他分享 >解决SpringBoot 接口恶意刷新和暴力请求!!

解决SpringBoot 接口恶意刷新和暴力请求!!

时间:2024-09-08 14:22:43浏览次数:12  
标签:httpServletRequest return String ip 接口 恶意 private public SpringBoot

在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过interceptredis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的;

首先工程为springboot框架搭建,不再详细叙述。

直接上核心代码。

首先创建一个自定义的拦截器类,也是最核心的代码:

/**
 * @package: com.technicalinterest.group.interceptor
 * @className: IpUrlLimitInterceptor
 * @description: ip+url重复请求现在拦截器
 **/
@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {
 
 
 private RedisUtil getRedisUtil() {
  return  SpringContextUtil.getBean(RedisUtil.class);
 }
 
 private static final String LOCK_IP_URL_KEY="lock_ip_";
 
 private static final String IP_URL_REQ_TIME="ip_url_times_";
 
 private static final long LIMIT_TIMES=5;
 
 private static final int IP_LOCK_TIME=60;
 
 @Override
 public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
  log.info("request请求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest));
  if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){
   log.info("ip访问被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));
   ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
   returnJson(httpServletResponse, JSON.toJSONString(result));
   return false;
  }
  if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){
   ApiResult result = new ApiResult(ResultEnum.LOCK_IP);
   returnJson(httpServletResponse, JSON.toJSONString(result));
   return false;
  }
  return true;
 }
 
 @Override
 public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
 
 }
 
 @Override
 public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
 
 }
 
 /**
  * @Description: 判断ip是否被禁用
  * @param ip
  * @return java.lang.Boolean
  */
 private Boolean ipIsLock(String ip){
  RedisUtil redisUtil=getRedisUtil();
  if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){
   return true;
  }
  return false;
 }
 /**
  * @Description: 记录请求次数
  * @param ip
  * @param uri
  * @return java.lang.Boolean
  */
 private Boolean addRequestTime(String ip,String uri){
  String key=IP_URL_REQ_TIME+ip+uri;
  RedisUtil redisUtil=getRedisUtil();
  if (redisUtil.hasKey(key)){
   long time=redisUtil.incr(key,(long)1);
   if (time>=LIMIT_TIMES){
    redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);
    return false;
   }
  }else {
   redisUtil.getLock(key,(long)1,1);
  }
  return true;
 }
 
 private void returnJson(HttpServletResponse response, String json) throws Exception {
  PrintWriter writer = null;
  response.setCharacterEncoding("UTF-8");
  response.setContentType("text/json; charset=utf-8");
  try {
   writer = response.getWriter();
   writer.print(json);
  } catch (IOException e) {
   log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);
  } finally {
   if (writer != null) {
    writer.close();
   }
  }
 }
 
 
}

代码中redis的使用的是分布式锁的形式,这样可以最大程度保证线程安全和功能的实现效果。代码中设置的是1S内同一个接口通过同一个ip访问5次,就将该ip禁用1个小时,根据自己项目需求可以自己适当修改,实现自己想要的功能;

redis分布式锁的关键代码:

/**
 * @package: com.shuyu.blog.util
 * @className: RedisUtil
 **/
@Component
@Slf4j
public class RedisUtil {
 
 private static final Long SUCCESS = 1L;
 
 @Autowired
 private RedisTemplate<String, Object> redisTemplate;
 // =============================common============================
 
 
 
 /**
  * 获取锁
  * @param lockKey
  * @param value
  * @param expireTime:单位-秒
  * @return
  */
 public boolean getLock(String lockKey, Object value, int expireTime) {
  try {
   log.info("添加分布式锁key={},expireTime={}",lockKey,expireTime);
   String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";
   RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
   Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);
   if (SUCCESS.equals(result)) {
    return true;
   }
  } catch (Exception e) {
   e.printStackTrace();
  }
  return false;
 }
 
 /**
  * 释放锁
  * @param lockKey
  * @param value
  * @return
  */
 public boolean releaseLock(String lockKey, String value) {
  String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";
  RedisScript<String> redisScript = new DefaultRedisScript<>(script, String.class);
  Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value);
  if (SUCCESS.equals(result)) {
   return true;
  }
  return false;
 }
 
}

最后将上面自定义的拦截器通过registry.addInterceptor添加一下,就生效了;

@Configuration
@Slf4j
public class MyWebAppConfig extends WebMvcConfigurerAdapter {
    @Bean
 IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
     return new IpUrlLimitInterceptor();
 }
 
 @Override
    public void addInterceptors(InterceptorRegistry registry) {
  registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

自己可以写一个for循环来测试方面的功能,这里就不详细介绍了。

 ——EOF——


福利:

扫码回复【酒店】可免费领取酒店管理系统源码

标签:httpServletRequest,return,String,ip,接口,恶意,private,public,SpringBoot
From: https://blog.csdn.net/java_121388/article/details/142026459

相关文章

  • SpringBoot使用Redis
    0.导入maven依赖<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId></dependency>1.配置ymlspring:data:redis:port:6379host:{redis.ip}......
  • Java大学生实战项目-基于SpringBoot+vue 的民宿在线预定平台
    博主介绍:✌Java徐师兄、7年大厂程序员经历。全网粉丝13w+、csdn博客专家、掘金/华为云等平台优质作者、专注于Java技术领域和毕业项目实战✌......
  • Java大学生实战项目- 基于SpringBoot+vue 的在线远程考试系统
    博主介绍:✌Java徐师兄、7年大厂程序员经历。全网粉丝13w+、csdn博客专家、掘金/华为云等平台优质作者、专注于Java技术领域和毕业项目实战✌......
  • SpringBoot学习(9)(springboot自动配置原理)(源码分析、面试题)
    目录一、引言二、为啥学习自动配置原理?三、自动配置(1)基本概述(2)学习回顾四、自动配置——源码分析(1)回顾学习(2)回到源码学习(1)注解@ComponentScan(2)注解@SpringBootConfiguration(3)核心注解@EnableAutoConfiguration(4)对刚刚源码的一个大致总结(梳理)五、解决问题六、分......
  • 【408精华知识】I/O接口的基本结构
    如图所示是一个I/O接口的通用结构,I/O接口在主机侧通过IO总线与内存、CPU相连。I/O接口中可以分为以下几个部分:数据缓冲寄存器:用来暂存与CPU或内存之间传送的数据信息;状态寄存器:用来记录接口和设备的状态信息;控制寄存器:用来保存CPU对外设的控制信息;数据线:传送的是......
  • 【2025】基于springboot二手闲置物品置换平台(源码+文档+调试+答疑)
    ......
  • 京东物流查询|开发者调用API接口实现
    快递聚合查询的优势1、高效整合多种快递信息。2、实时动态更新。3、自动化管理流程。聚合国内外1500家快递公司的物流信息查询服务,使用API接口查询京东物流的便捷步骤,首先选择专业的数据平台的快递API接口:https://www.tanshuapi.com/market/detail-68以下示例是参考的示例代码:impor......
  • 基于SpringBoot的电影院会员管理系统-计算机毕业设计源码+LW文档
    摘 要随着经济的发展和信息技术的普及,国内电影院正面临巨大的挑战。如果电影院不能及时调整其管理流程和战略规划,将有可能被市场淘汰。特别是对于需要处理大量人员信息和会员信息的电影院,如果不能利用信息系统进行高效的管理和利用,将严重影响其发展,降低管理效率。基于SpringBoot......
  • SpringBoot发送邮件
    0导入发送邮件的依赖包<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-mail</artifactId></dependency>1获取邮件授权码2配置yml文件spring:mail:#smtp服务主机qq邮箱则为smtp.qq.comhost:s......
  • 【含文档+PPT+源码】基于SpringBoot+Vue医药知识学习与分享平台的设计与实现
    项目介绍本课程演示的是一款基于SpringBoot+Vue医药知识学习与分享平台的设计与实现,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Java学习者。1.包含:项目源码、项目文档、数据库脚本、软件工具等所有资料2.带你从零开始部署运行本套系统3.该项目附......