IP防刷,也就是在短时间内有大量相同ip的请求,可能是恶意的,也可能是超出业务范围的。总之,我们需要杜绝短时间内大量请求的问题,怎么处理?

  其实这个问题,真的是太常见和太简单了,但是真正来做的时候,可能就不一定很简单了哦。

  我这里给一个解决方案,以供参考!

主要思路或者需要考虑的问题为:

  1. 因为现在的服务器环境几乎都是分布式环境,所以,用本地计数的方式肯定是不行了,所以我们需要一个第三方的工具来辅助计数;

  2. 可以选用数据库、缓存中间件、zk等组件来解决分布式计数问题;

  3. 使用自增计数,尽量保持原子性,避免误差;

  4. 统计周期为从当前倒推 interval 时间,还是直接以某个开始时间计数;

  5. 在何处进行拦截? 每个方法开始前? 还是请求入口处?

实现代码示例如下:

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Before;

import org.springframework.web.context.request.RequestAttributes;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import redis.clients.jedis.Jedis;

import javax.annotation.Resource;

import javax.servlet.http.HttpServletRequest;

/**

 * IP 防刷工具类, 10分钟内只最多允许1000次用户操作

 */

@Aspect

public class IpFlushFirewall {

    @Resource

    private Jedis redisTemplate;

    /**

     * 最大ip限制次数

     */

    private static int maxLimitIpHit = 1000;

    /**

     * 检查时效,单位:秒

     */

    private static int checkLimitIpHitInterval = 600;

    // 自测试有效性

    public static void main(String[] args) {

        IpFlushFirewall ipTest = new IpFlushFirewall();

        // 测试时直接使用new Jedis(), 正式运行时使用 redis-data 组件配置即可

        ipTest.redisTemplate = new Jedis("127.0.0.1", 6379);

        for (int i = 0; i < 10; i++) {

            System.out.println("new action: +" + i);

            ipTest.testLoginAction(new Object());

            System.out.println("action: +" + i + ", passed...");

        }

    }

    // 测试访问的方法

    public Object testLoginAction(Object req) {

        // ip防刷

        String reqIp = "127.0.0.1";

        checkIpLimit(reqIp);

        // 用户信息校验

        System.out.println("login success...");

        // 返回用户信息

        return null;

    }

    // 检测限制入口

    public void checkIpLimit(String ip) {

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    // ip 防刷 / 使用切面进行拦截

    @Before(value = "execution(public * com.*.*.*(..))")

    public void checkIpLimit() {

        RequestAttributes ra = RequestContextHolder.getRequestAttributes();

        ServletRequestAttributes sra = (ServletRequestAttributes) ra;

        HttpServletRequest request = sra.getRequest();

        String ip = getIp(request);

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    public static String getIp(HttpServletRequest request) {

        String ip = request.getHeader("x-forwarded-for");

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getRemoteAddr();

        }

        // 多级代理问题

        if(ip.contains(",")) {

            ip = ip.substring(0, ip.indexOf(',')).trim();

        }

        return ip;

    }

    /**

     * 判断ip是否受限制, 非核心场景,对于非原子的更新计数问题不大,否则考虑使用分布式锁调用更新

     */

    private boolean isIpLimited(String reqIp) {

        String ipHitCache = getIpHitCacheKey(reqIp);

        // 先取旧数据作为本次判断,再记录本次访问

        String hitsStr = redisTemplate.get(ipHitCache);

        recordNewIpRequest(reqIp);

        // 新周期内,首次访问

        if(hitsStr == null) {

            return false;

        }

        // 之前有命中

        // 总数未超限,直接通过

        if(!isOverMaxLimit(Integer.valueOf(hitsStr) + 1)) {

            return false;

        }

        // 当前访问后超过限制后,再判断周期内的数据

        Long retainIpHits = countEffectiveIntervalIpHit(reqIp);

        redisTemplate.set(ipHitCache, retainIpHits + "");

        // 将有效计数更新回计数器,删除无效计数后,在限制范围内,则不限制操作

        if(!isOverMaxLimit(retainIpHits.intValue())) {

            return false;

        }

        return true;

    }

    // 是否超过最大限制

    private boolean isOverMaxLimit(Integer nowCount) {

        return nowCount > maxLimitIpHit;

    }

    // 每次访问必须记录

    private void recordNewIpRequest(String reqIp) {

        if(redisTemplate.exists(getIpHitCacheKey(reqIp))) {

            // 自增访问量

            redisTemplate.incr(getIpHitCacheKey(reqIp));

        }

        else {

            redisTemplate.set(getIpHitCacheKey(reqIp), "1");

        }

        redisTemplate.expire(getIpHitCacheKey(reqIp), checkLimitIpHitInterval);

        Long nowTime = System.currentTimeMillis() / 1000;

        // 使用 sorted set 保存记录时间,方便删除, zset 元素尽可能保持唯一,否则会导致统计有效时数据变少问题

        redisTemplate.zadd(getIpHitStartTimeCacheKey(reqIp), nowTime , reqIp + "-" + System.nanoTime() + Math.random());

        redisTemplate.expire(getIpHitStartTimeCacheKey(reqIp), checkLimitIpHitInterval);

    }

    /**

     * 统计计数周期内有效的的访问次数(删除无效统计)

     *

     * @param reqIp 请求ip

     * @return 有效计数

     */

    private Long countEffectiveIntervalIpHit(String reqIp) {

        // 删除统计周期外的计数

        Long nowTime = System.currentTimeMillis() / 1000;

        redisTemplate.zremrangeByScore(getIpHitStartTimeCacheKey(reqIp), nowTime - checkLimitIpHitInterval, nowTime);

        return redisTemplate.zcard(getIpHitStartTimeCacheKey(reqIp));

    }

    // ip 访问计数器缓存key

    private String getIpHitCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp;

    }

    // ip 访问开始时间缓存key

    private String getIpHitStartTimeCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp + ".starttime";

    }

}

  如上解决思路为:

    1. 使用 redis 做计数器工具,做到数据统一的同时,redis 的高性能特性也保证了整个应用性能;

    2. 使用 redis 的 incr 做自增,使用一个 zset 来保存记录开始时间,做双重保险;

    3. 在计数超过限制后,再做开始有效性的检测,保证准确的同时,避免了每次都手动检查有时间有效性的动作;

4. 正常的统计周期超时,借助redis自动淘汰机制清理,无需手动管理;

    5. 使用切面的方式进行请求拦截,避免业务代码入侵;

一个简单IP防刷工具类, x秒内最多允许y次单ip操作的更多相关文章

  1. 实现一个简单的http请求工具类

    OC自带的http请求用起来不直观,asihttprequest库又太大了,依赖也多,下面实现一个简单的http请求工具类 四个文件源码大致如下,还有优化空间 MYHttpRequest.h(类定义, ...

  2. 一个简单的Java文件工具类

    package com.xyworkroom.ntko.util; import java.io.File; import java.io.FileInputStream; import java.i ...

  3. 基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil

    基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil,把日常能用到的各种CRUD都进行了简化封装,让普通程序员只需关注业务即可,因为非常简单,故直接贴源代码,大家若需使用可以直 ...

  4. [Winform]一个简单的账户管理工具

    最近一直觉得注册的账户越来越多,帐号密码神马的容易弄混.自己就折腾了一个简单的账户管理工具,其实实现也挺简单,将每个账户的密码及相关密码提示信息,经aes算法加密之后保存到数据库,当前登录用户可以查询 ...

  5. Qt5.9一个简单的多线程实例(类QThread)(第一种方法)

    Qt开启多线程,主要用到类QThread.有两种方法,第一种用一个类继承QThread,然后重新改写虚函数run().当要开启新线程时,只需要实例该类,然后调用函数start(),就可以开启一条多线程 ...

  6. 超简单的okhttp封装工具类(上)

      版权声明:转载请注明出处:http://blog.csdn.net/piaomiao8179 https://blog.csdn.net/piaomiao8179/article/details/ ...

  7. 一个好的Java时间工具类DateTime

    此类的灵感来源于C# 虽然网上有什么date4j,但是jar太纠结了,先给出源码,可以继承到自己的util包中,作为一个资深程序员,我相信都有不少好的util工具类,我也希望经过此次分享,能带动技术大 ...

  8. java高并发系列 - 第15天:JUC中的Semaphore,最简单的限流工具类,必备技能

    这是java高并发系列第15篇文章 Semaphore(信号量)为多线程协作提供了更为强大的控制方法,前面的文章中我们学了synchronized和重入锁ReentrantLock,这2种锁一次都只能 ...

  9. C#-用Winform制作一个简单的密码管理工具

    为什么要做? 首先是为了练习一下c#. 想必大家都有过记不起某个平台的账号密码的经历,那种感受着实令人抓狂.那这么多账号密码根本记不住!我之前用python写过一个超级简单(连账号信息都写在代码里那种 ...

随机推荐

  1. 【JAVA】反射总结

    反射是什么? 反射就是指程序在运行的时候可以知道一个类的自身信息. 自身信息有哪些:类方法.属性.成员变量.构造方法.包等 动态编译和静态编译  静态编译:在编译的时候进确定类型,如果绑定对象成功,n ...

  2. 利用MMdnn对比keras和mxnet

    关键字 MMdnn,keras,mxnet,resnet50 需求:想测试一下keras下model转到MXNet框架下对于同一张图片各中间层输出结果有什么差异. 一. 前期准备 1. 依赖库的选择 ...

  3. 对JS 的classList 简单记录

    一 对classList整体感觉 浏览器支持参考(http://www.runoob.com/jsref/prop-element-classlist.html) classList 是一个对象 ,返 ...

  4. 微服务框架——SpringCloud

    1.SpringCloud微服务框架 a.概念:SpringCloud是基于SpringBoot的微服务框架 b.五大神兽:Eureka(服务发现).Ribbon(客服端负载均衡).Hystrix(断 ...

  5. SpringBoot使用Sharding-JDBC读写分离

    本文介绍SpringBoot使用当当Sharding-JDBC进行读写分离. 1.有关Sharding-JDBC 本文还是基于当当网Sharding-Jdbc的依赖,与上一篇使用Sharding-Jd ...

  6. java简单框架设计

    设计框架包可以作为一个工具给大家用,需要有完全不同设计思路给出来,不同于我们去做一个web服务.网站. 或者一个业务微服务,需要从原来使用视角转换成一个构建者视角. 框架或者工具,更多是框架来管理或者 ...

  7. java自动化-实际使用junit的演示

    本文简单介绍一下我写的http接口后端框架 在经过之前多篇博客介绍之后,读者应掌握如下技能 1,自动运行一个或者多个junit框架编写的java代码 2,对数据驱动以及关键字驱动有一定的了解和认识,甚 ...

  8. Machine Learning学习资源

    引申:非原创,转载来自:https://blog.csdn.net/ptkin/article/details/50995140

  9. iOS-ERROR ITMS-90086:"missing 64-bit support...解决办法

    BUG描述:Untiy4.7.1导出的iOS工程包,使用Xcode8.3 Application Loader上传ipa包,遇到ERROR ITMS-90086报错 解决办法:查看错误描述确认是没有支 ...

  10. vue-cli+mock.js+axios模拟前后台数据交互

    最近工作不是很忙,自己做了一个vue的移动端的小项目,涉及到后台数据的时候,网上查阅了一些资料,因为是自己写的项目没有后台只能自己模拟数据,刚开始就自己写了一些静态数据后来觉得尽量模拟真实的比较好些, ...