IP防刷,也就是在短时间内有大量相同ip的请求,可能是恶意的,也可能是超出业务范围的。总之,我们需要杜绝短时间内大量请求的问题,怎么处理?

  其实这个问题,真的是太常见和太简单了,但是真正来做的时候,可能就不一定很简单了哦。

  我这里给一个解决方案,以供参考!

主要思路或者需要考虑的问题为:

  1. 因为现在的服务器环境几乎都是分布式环境,所以,用本地计数的方式肯定是不行了,所以我们需要一个第三方的工具来辅助计数;

  2. 可以选用数据库、缓存中间件、zk等组件来解决分布式计数问题;

  3. 使用自增计数,尽量保持原子性,避免误差;

  4. 统计周期为从当前倒推 interval 时间,还是直接以某个开始时间计数;

  5. 在何处进行拦截? 每个方法开始前? 还是请求入口处?

实现代码示例如下:

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Before;

import org.springframework.web.context.request.RequestAttributes;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import redis.clients.jedis.Jedis;

import javax.annotation.Resource;

import javax.servlet.http.HttpServletRequest;

/**

 * IP 防刷工具类, 10分钟内只最多允许1000次用户操作

 */

@Aspect

public class IpFlushFirewall {

    @Resource

    private Jedis redisTemplate;

    /**

     * 最大ip限制次数

     */

    private static int maxLimitIpHit = 1000;

    /**

     * 检查时效,单位:秒

     */

    private static int checkLimitIpHitInterval = 600;

    // 自测试有效性

    public static void main(String[] args) {

        IpFlushFirewall ipTest = new IpFlushFirewall();

        // 测试时直接使用new Jedis(), 正式运行时使用 redis-data 组件配置即可

        ipTest.redisTemplate = new Jedis("127.0.0.1", 6379);

        for (int i = 0; i < 10; i++) {

            System.out.println("new action: +" + i);

            ipTest.testLoginAction(new Object());

            System.out.println("action: +" + i + ", passed...");

        }

    }

    // 测试访问的方法

    public Object testLoginAction(Object req) {

        // ip防刷

        String reqIp = "127.0.0.1";

        checkIpLimit(reqIp);

        // 用户信息校验

        System.out.println("login success...");

        // 返回用户信息

        return null;

    }

    // 检测限制入口

    public void checkIpLimit(String ip) {

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    // ip 防刷 / 使用切面进行拦截

    @Before(value = "execution(public * com.*.*.*(..))")

    public void checkIpLimit() {

        RequestAttributes ra = RequestContextHolder.getRequestAttributes();

        ServletRequestAttributes sra = (ServletRequestAttributes) ra;

        HttpServletRequest request = sra.getRequest();

        String ip = getIp(request);

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    public static String getIp(HttpServletRequest request) {

        String ip = request.getHeader("x-forwarded-for");

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getRemoteAddr();

        }

        // 多级代理问题

        if(ip.contains(",")) {

            ip = ip.substring(0, ip.indexOf(',')).trim();

        }

        return ip;

    }

    /**

     * 判断ip是否受限制, 非核心场景,对于非原子的更新计数问题不大,否则考虑使用分布式锁调用更新

     */

    private boolean isIpLimited(String reqIp) {

        String ipHitCache = getIpHitCacheKey(reqIp);

        // 先取旧数据作为本次判断,再记录本次访问

        String hitsStr = redisTemplate.get(ipHitCache);

        recordNewIpRequest(reqIp);

        // 新周期内,首次访问

        if(hitsStr == null) {

            return false;

        }

        // 之前有命中

        // 总数未超限,直接通过

        if(!isOverMaxLimit(Integer.valueOf(hitsStr) + 1)) {

            return false;

        }

        // 当前访问后超过限制后,再判断周期内的数据

        Long retainIpHits = countEffectiveIntervalIpHit(reqIp);

        redisTemplate.set(ipHitCache, retainIpHits + "");

        // 将有效计数更新回计数器,删除无效计数后,在限制范围内,则不限制操作

        if(!isOverMaxLimit(retainIpHits.intValue())) {

            return false;

        }

        return true;

    }

    // 是否超过最大限制

    private boolean isOverMaxLimit(Integer nowCount) {

        return nowCount > maxLimitIpHit;

    }

    // 每次访问必须记录

    private void recordNewIpRequest(String reqIp) {

        if(redisTemplate.exists(getIpHitCacheKey(reqIp))) {

            // 自增访问量

            redisTemplate.incr(getIpHitCacheKey(reqIp));

        }

        else {

            redisTemplate.set(getIpHitCacheKey(reqIp), "1");

        }

        redisTemplate.expire(getIpHitCacheKey(reqIp), checkLimitIpHitInterval);

        Long nowTime = System.currentTimeMillis() / 1000;

        // 使用 sorted set 保存记录时间,方便删除, zset 元素尽可能保持唯一,否则会导致统计有效时数据变少问题

        redisTemplate.zadd(getIpHitStartTimeCacheKey(reqIp), nowTime , reqIp + "-" + System.nanoTime() + Math.random());

        redisTemplate.expire(getIpHitStartTimeCacheKey(reqIp), checkLimitIpHitInterval);

    }

    /**

     * 统计计数周期内有效的的访问次数(删除无效统计)

     *

     * @param reqIp 请求ip

     * @return 有效计数

     */

    private Long countEffectiveIntervalIpHit(String reqIp) {

        // 删除统计周期外的计数

        Long nowTime = System.currentTimeMillis() / 1000;

        redisTemplate.zremrangeByScore(getIpHitStartTimeCacheKey(reqIp), nowTime - checkLimitIpHitInterval, nowTime);

        return redisTemplate.zcard(getIpHitStartTimeCacheKey(reqIp));

    }

    // ip 访问计数器缓存key

    private String getIpHitCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp;

    }

    // ip 访问开始时间缓存key

    private String getIpHitStartTimeCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp + ".starttime";

    }

}

  如上解决思路为:

    1. 使用 redis 做计数器工具,做到数据统一的同时,redis 的高性能特性也保证了整个应用性能;

    2. 使用 redis 的 incr 做自增,使用一个 zset 来保存记录开始时间,做双重保险;

    3. 在计数超过限制后,再做开始有效性的检测,保证准确的同时,避免了每次都手动检查有时间有效性的动作;

4. 正常的统计周期超时,借助redis自动淘汰机制清理,无需手动管理;

    5. 使用切面的方式进行请求拦截,避免业务代码入侵;

一个简单IP防刷工具类, x秒内最多允许y次单ip操作的更多相关文章

  1. 实现一个简单的http请求工具类

    OC自带的http请求用起来不直观,asihttprequest库又太大了,依赖也多,下面实现一个简单的http请求工具类 四个文件源码大致如下,还有优化空间 MYHttpRequest.h(类定义, ...

  2. 一个简单的Java文件工具类

    package com.xyworkroom.ntko.util; import java.io.File; import java.io.FileInputStream; import java.i ...

  3. 基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil

    基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil,把日常能用到的各种CRUD都进行了简化封装,让普通程序员只需关注业务即可,因为非常简单,故直接贴源代码,大家若需使用可以直 ...

  4. [Winform]一个简单的账户管理工具

    最近一直觉得注册的账户越来越多,帐号密码神马的容易弄混.自己就折腾了一个简单的账户管理工具,其实实现也挺简单,将每个账户的密码及相关密码提示信息,经aes算法加密之后保存到数据库,当前登录用户可以查询 ...

  5. Qt5.9一个简单的多线程实例(类QThread)(第一种方法)

    Qt开启多线程,主要用到类QThread.有两种方法,第一种用一个类继承QThread,然后重新改写虚函数run().当要开启新线程时,只需要实例该类,然后调用函数start(),就可以开启一条多线程 ...

  6. 超简单的okhttp封装工具类(上)

      版权声明:转载请注明出处:http://blog.csdn.net/piaomiao8179 https://blog.csdn.net/piaomiao8179/article/details/ ...

  7. 一个好的Java时间工具类DateTime

    此类的灵感来源于C# 虽然网上有什么date4j,但是jar太纠结了,先给出源码,可以继承到自己的util包中,作为一个资深程序员,我相信都有不少好的util工具类,我也希望经过此次分享,能带动技术大 ...

  8. java高并发系列 - 第15天:JUC中的Semaphore,最简单的限流工具类,必备技能

    这是java高并发系列第15篇文章 Semaphore(信号量)为多线程协作提供了更为强大的控制方法,前面的文章中我们学了synchronized和重入锁ReentrantLock,这2种锁一次都只能 ...

  9. C#-用Winform制作一个简单的密码管理工具

    为什么要做? 首先是为了练习一下c#. 想必大家都有过记不起某个平台的账号密码的经历,那种感受着实令人抓狂.那这么多账号密码根本记不住!我之前用python写过一个超级简单(连账号信息都写在代码里那种 ...

随机推荐

  1. Eclipse使用技巧 - 2. Eclipse自动补全功能轻松设置

    本文介绍如何设置Eclipse代码自动补全功能.轻松实现输入任意字母均可出现代码补全提示框. Eclipse代码自动补全功能默认只包括 点”.” ,即只有输入”.”后才出现自动补全的提示框.想要自动补 ...

  2. IntelliJ IDEA 创建 Java包

    一.创建包 1.在已有项目的"src"文件夹 -> 右键 -> New -> Package 2.命名包名,注意命名规范 二.创建类 1.新建包成功之后,在包上右 ...

  3. [原创]EBAZ4205 Linux log打印输出

    下载器与板级之前的连接 JTAG红色为1脚,请注意 RX接板级TX TX接板级RX UART_Vref接板级VCC GND接板级GND U-Boot 2014.01 (Apr 14 2019 - 10 ...

  4. kafka写入hdfs

    碰到的问题 (1)线程操作问题,因为单机节点,代码加锁就好了,后续再写 (2) 消费者写hdfs的时候以流的形式写入,但是什么时候关闭流就是一个大问题了,这里引入了   fsDataOutputStr ...

  5. 起泡排序(Bubble sort)

    局部有序和整体有序 在由一组整数组成的序列A[0, n-1]中,满足 $ A[i - 1] \leq A[i] $ 的相邻元素称为顺序的:否则是逆序的. 扫描交换 由有序序列的特征,我们可以通过不断改 ...

  6. 运用SqlSugar框架+Axios写的增删查案例

    使用SqlSugar框架需要引用NuGet程序包否则会出现报错. 前台页面创建代码: @{    ViewBag.Title = "Index";}<h2>Index& ...

  7. 福州大学软件工程1916|W班 第3次作业成绩排名

    作业链接 结对第二次-文献摘要热词统计及进阶需求 评分细则 本次作业由三部分组成(程序满分80,博客满分70,工程能力满分30) 程序评分标准 基础需求 共有7个测试用例,每个满分20分并按照一定的映 ...

  8. Flink解析kafka canal未压平数据为message报错

    canal使用非flatmessage方式获取mysql bin log日志发至kafka比直接发送json效率要高很多,数据发到kafka后需要实时解析为json,这里可以使用strom或者flin ...

  9. Spring Cloud微服务笔记(四)客户端负载均衡:Spring Cloud Ribbon

    客户端负载均衡:Spring Cloud Ribbon 一.负载均衡概念 负载均衡在系统架构中是一个非常重要,并且是不得不去实施的内容.因为负载均衡对系统的高可用性. 网络压力的缓解和处理能力的扩容的 ...

  10. 二叉查找树的C++实现

    #include <iostream> #include <algorithm> #include <stack> using namespace std; /// ...