​在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过Spring Boot提供的HandlerInterceptor和Redis 针对 Url + ip在一定时间内访问的次数来将ip禁用,可以根据自己的业务需求进行相应的修改,以达到自己的目的。

首先创建一个自定义的拦截器类,也是最核心的代码。

/**

 * @ProjectName: cdkj-framework

 * @Package: com.cdkjframework.core.spring.filter

 * @ClassName: FilterHandlerInterceptor

 * @Description: 拦截过滤

 * @Author: xiaLin

 * @Date: 2022/6/22 13:36

 * @Version: 1.0

 */

public class FilterHandlerInterceptor implements HandlerInterceptor {

  /**

   * 日志

   */

  private LogUtils logUtils = LogUtils.getLogger(FilterHandlerInterceptor.class);

  /**

   * redis锁

   */

  private final RedisLettuceLock redisLettuceLock;

  /**

   * IP头部变量(可能通过Nginx代理后)

   */

  private static final String HEADER_IP = "X-Real-IP";

  /**

   * 锁IP请求URL地址KEY

   */

  private static final String LOCK_IP_URL_KEY = "lock_ip_";

  /**

   * IP请求URL地址时间

   */

  private static final String IP_URL_REQ_TIME = "ip_url_times_";

  /**

   * 极限时间

   */

  private static final long LIMIT_TIMES = 5;

  /**

   * IP锁定时间 秒

   */

  private static final int IP_LOCK_TIME = 60;

  /**

   * 构建函数

   */

  public FilterHandlerInterceptor(RedisLettuceLock redisLettuceLock) {

    this.redisLettuceLock = redisLettuceLock;

  }

  /**

   * 预处理

   *

   * @param request  请求

   * @param response 响应

   * @param o        参数

   * @return 返回结果

   * @throws Exception 异常信息

   */

  @Override

  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {

    String ip = request.getHeader(HEADER_IP);

    if (StringUtils.isNullAndSpaceOrEmpty(ip)) {

      ip = request.getRemoteAddr();

    }

    logUtils.info("request 请求地址 Uri={},ip={}", request.getRequestURI(), ip);

    if (ipIsLock(ip)) {

      logUtils.info("ip访问被禁止={}", ip);

      ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");

      returnJson(response, builder);

      return false;

    }

    if (!addRequest(ip, request.getRequestURI())) {

      ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");

      returnJson(response, builder);

      return false;

    }

    return true;

  }

  @Override

  public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

  }

  @Override

  public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

  }

  /**

   * IP 是否已锁

   *

   * @param ip IP 地址

   * @return 返回是否成功

   */

  private Boolean ipIsLock(String ip) {

    if (redisLettuceLock.lock(LOCK_IP_URL_KEY + ip)) {

      return true;

    }

    return false;

  }

  /**

   * 添加请求信息

   *

   * @param ip  IP 地址

   * @param uri 请求路径

   * @return 返回是否成功

   */

  private Boolean addRequest(String ip, String uri) {

    String key = IP_URL_REQ_TIME + ip + uri;

    if (RedisUtils.syncExists(key)) {

      long time = RedisUtils.syncIncr(key, IntegerConsts.ONE);

      if (time >= LIMIT_TIMES) {

        redisLettuceLock.lock(LOCK_IP_URL_KEY + ip, IP_LOCK_TIME, ip);

        return false;

      }

    } else {

      redisLettuceLock.lock(key, (long) IntegerConsts.ONE, IntegerConsts.ONE);

    }

    return true;

  }

  /**

   * 返回结果

   *

   * @param response 响应

   * @param builder  返回结果

   * @throws Exception 异常信息

   */

  private void returnJson(HttpServletResponse response, ResponseBuilder builder) throws Exception {

    ResponseUtils.out(response, builder);

  }

}

  最后将上面自定义的拦截器通过WebMvcConfigurer下的registry.addInterceptor添加一下,就生效了。

/**

 * @ProjectName: cdkj-framework

 * @Package: com.cdkjframework.core.spring.filter

 * @ClassName: WebMvcFilterConfigurerAdapter

 * @Description: java类作用描述

 * @Author: xiaLin

 * @Date: 2022/6/22 13:37

 * @Version: 1.0

 */

@RequiredArgsConstructor

public class WebMvcFilterConfigurerAdapter implements WebMvcConfigurer {

    /**

     * redis锁

     */

    private final RedisLettuceLock redisLettuceLock;

    /**

     * 过虑句柄拦截器

     *

     * @return 返回拦截器

     */

    @Bean

    private FilterHandlerInterceptor filterHandlerInterceptor() {

        return new FilterHandlerInterceptor(redisLettuceLock);

    }

    /**

     * 添加 拦截器

     *

     * @param registry 拦截器注册

     */

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(filterHandlerInterceptor()).addPathPatterns("/**");

    }

}

  自己可以写一个for循环来测试改功能,这里就不具体详细介绍了。

文章中的工具类可参考:https://gitee.com/cdkjframework/common/tree/1.0.2/

Spring Boot 防止接口被恶意刷新、暴力请求的更多相关文章

  1. spring boot rest 接口集成 spring security(2) - JWT配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  2. spring boot rest 接口集成 spring security(1) - 最简配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  3. Spring Boot Web应用开发 CORS 跨域请求支持:

    Spring Boot Web应用开发 CORS 跨域请求支持: 一.Web开发经常会遇到跨域问题,解决方案有:jsonp,iframe,CORS等等CORS与JSONP相比 1. JSONP只能实现 ...

  4. 46. Spring Boot中使用AOP统一处理Web请求日志

    在之前一系列的文章中都是提供了全部的代码,在之后的文章中就提供核心的代码进行讲解.有什么问题大家可以给我留言或者加我QQ,进行咨询. AOP为Aspect Oriented Programming的缩 ...

  5. Spring boot CommandLineRunner接口使用例子

    前言 Spring boot的CommandLineRunner接口主要用于实现在应用初始化后,去执行一段代码块逻辑,这段初始化代码在整个应用生命周期内只会执行一次. 如何使用CommandLineR ...

  6. spring boot: 设计接口站api的版本号,支持次版本号(spring boot 2.3.2)

    一,为什么接口站的api要使用版本号? 1,当服务端接口的功能发生改进后, 客户端如果不更新版本,    则服务端返回的功能可能不能使用,    所以在服务端功能升级后,     客户端也要相应的使用 ...

  7. spring boot:给接口增加签名验证(spring boot 2.3.1)

    一,为什么要给接口做签名验证? 1,app客户端在与服务端通信时,通常都是以接口的形式实现, 这种形式的安全方面有可能出现以下问题: 被非法访问(例如:发短信的接口通常会被利用来垃圾短信) 被重复访问 ...

  8. 寻找写代码感觉(三)之使用 Spring Boot 编写接口

    一.前言 项目配置完之后,接着就是写接口了,那咱们就开始吧. 二.项目配置补充知识点 上篇文章写的是关于项目属性配置的一些知识,这里针对上次遗忘内容进行补充如下: 2.1.获取配置文件的值 在appl ...

  9. spring boot:使接口返回统一的RESTful格式数据(spring boot 2.3.1)

    一,为什么要使用REST? 1,什么是REST? REST是软件架构的规范体系,它把资源的状态用URL进行资源定位, 以HTTP动作(GET/POST/DELETE/PUT)描述操作 2,REST的优 ...

  10. spring boot 统一接口异常返回值

    创建业务 Exception 一般在实际项目中,推荐创建自己的 Exception 类型,这样在后期会更容易处理,也比较方便统一,否则,可能每个人都抛出自己喜欢的异常类型,而造成代码混乱 Servic ...

随机推荐

  1. npm卸载"Tracker idealTree already exists"

    问题 使用npm卸载babel插件的时候执行命令npm uninstall babel...出现如下报错 npm ERR! Tracker "idealTree" already ...

  2. python进阶(29)单例模式

    初识单例模式 单例模式含义 单例模式,也叫单子模式,是一种常用的软件设计模式.在应用这个模式时,单例对象的类必须保证只有一个实例存在.许多时候整个系统只需要拥有一个的全局对象,这样有利于我们协调系统整 ...

  3. nestjs搭建HTTP与WebSocket服务

    最近在做一款轻量级IM产品,后端技术栈框架使用了nodejs + nestjs作为服务端.同时,还需要满足一个服务同时支持HTTP服务调用以及WebSocket服务调用,此文主要记录本次搭建过程,以及 ...

  4. 周立功DTU+温度传感器,ZWS物联网平台尝试

    1.前言 了解到周立功有相关的物联网云平台,近期在调研动态环境监控项目,可以进行一个上云的尝试.购置了传感器.周立功的DTU等硬件,将传感器的温度.湿度等数据进行一个云平台的上传. 2.前期准备 传感 ...

  5. 30位以内随机产生时间戳加随机数id

    package com.zx.ps.web.gzdb; import java.text.SimpleDateFormat; import java.util.Date; public class c ...

  6. 【JVM故障问题排查心得】「内存诊断系列」JVM内存与Kubernetes中pod的内存、容器的内存不一致所引发的OOMKilled问题总结(上)

    背景介绍 在我们日常的工作当中,通常应用都会采用Kubernetes进行容器化部署,但是总是会出现一些问题,例如,JVM堆小于Docker容器中设置的内存大小和Kubernetes的内存大小,但是还是 ...

  7. [.NET学习]EFCore学习之旅 -2 简单的增删改查

    1.实例化创建数据库上下文类 首先实例化一个数据库操作上下文类,注意到DbContext实现了IDisposable接口,所以使用using语句,避免内存泄露. 2.插入 以Person类为例,先生成 ...

  8. 【云原生 • DevOps】一文掌握容器管理工具 Rancher

    一.容器管理工具 Rancher 介绍Rancher 是一个开源的企业级全栈化容器部署及管理平台,其实就是一个 Docker 的图形化管理界面.它为容器提供基础架构服务,可以让 CNI 兼容的网络服务 ...

  9. Python全栈工程师之从网页搭建入门到Flask全栈项目实战(5) - Flask中的ORM使用

    1.理解ORM ORM是MTV模型里面的Model模型 ORM(Object Relational Mapping),对象关系映射 举例:学生选课 学生和课程这两个实体,一个学生可以选择多门课程,一个 ...

  10. jQuery使用 前端框架Bootstrap

    目录 jQuery查找标签 1.基本选择器 2.组合选择器 3.后代选择器 4.属性选择器 5.基本筛选器 7.筛选器方法 链式操作的本质 操作标签 1.class操作 2.位置操作 3.文本操作 4 ...