IP防刷,也就是在短时间内有大量相同ip的请求,可能是恶意的,也可能是超出业务范围的。总之,我们需要杜绝短时间内大量请求的问题,怎么处理?

  其实这个问题,真的是太常见和太简单了,但是真正来做的时候,可能就不一定很简单了哦。

  我这里给一个解决方案,以供参考!

主要思路或者需要考虑的问题为:

  1. 因为现在的服务器环境几乎都是分布式环境,所以,用本地计数的方式肯定是不行了,所以我们需要一个第三方的工具来辅助计数;

  2. 可以选用数据库、缓存中间件、zk等组件来解决分布式计数问题;

  3. 使用自增计数,尽量保持原子性,避免误差;

  4. 统计周期为从当前倒推 interval 时间,还是直接以某个开始时间计数;

  5. 在何处进行拦截? 每个方法开始前? 还是请求入口处?

实现代码示例如下:

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Before;

import org.springframework.web.context.request.RequestAttributes;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import redis.clients.jedis.Jedis;

import javax.annotation.Resource;

import javax.servlet.http.HttpServletRequest;

/**

 * IP 防刷工具类, 10分钟内只最多允许1000次用户操作

 */

@Aspect

public class IpFlushFirewall {

    @Resource

    private Jedis redisTemplate;

    /**

     * 最大ip限制次数

     */

    private static int maxLimitIpHit = 1000;

    /**

     * 检查时效,单位:秒

     */

    private static int checkLimitIpHitInterval = 600;

    // 自测试有效性

    public static void main(String[] args) {

        IpFlushFirewall ipTest = new IpFlushFirewall();

        // 测试时直接使用new Jedis(), 正式运行时使用 redis-data 组件配置即可

        ipTest.redisTemplate = new Jedis("127.0.0.1", 6379);

        for (int i = 0; i < 10; i++) {

            System.out.println("new action: +" + i);

            ipTest.testLoginAction(new Object());

            System.out.println("action: +" + i + ", passed...");

        }

    }

    // 测试访问的方法

    public Object testLoginAction(Object req) {

        // ip防刷

        String reqIp = "127.0.0.1";

        checkIpLimit(reqIp);

        // 用户信息校验

        System.out.println("login success...");

        // 返回用户信息

        return null;

    }

    // 检测限制入口

    public void checkIpLimit(String ip) {

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    // ip 防刷 / 使用切面进行拦截

    @Before(value = "execution(public * com.*.*.*(..))")

    public void checkIpLimit() {

        RequestAttributes ra = RequestContextHolder.getRequestAttributes();

        ServletRequestAttributes sra = (ServletRequestAttributes) ra;

        HttpServletRequest request = sra.getRequest();

        String ip = getIp(request);

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    public static String getIp(HttpServletRequest request) {

        String ip = request.getHeader("x-forwarded-for");

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getRemoteAddr();

        }

        // 多级代理问题

        if(ip.contains(",")) {

            ip = ip.substring(0, ip.indexOf(',')).trim();

        }

        return ip;

    }

    /**

     * 判断ip是否受限制, 非核心场景,对于非原子的更新计数问题不大,否则考虑使用分布式锁调用更新

     */

    private boolean isIpLimited(String reqIp) {

        String ipHitCache = getIpHitCacheKey(reqIp);

        // 先取旧数据作为本次判断,再记录本次访问

        String hitsStr = redisTemplate.get(ipHitCache);

        recordNewIpRequest(reqIp);

        // 新周期内,首次访问

        if(hitsStr == null) {

            return false;

        }

        // 之前有命中

        // 总数未超限,直接通过

        if(!isOverMaxLimit(Integer.valueOf(hitsStr) + 1)) {

            return false;

        }

        // 当前访问后超过限制后,再判断周期内的数据

        Long retainIpHits = countEffectiveIntervalIpHit(reqIp);

        redisTemplate.set(ipHitCache, retainIpHits + "");

        // 将有效计数更新回计数器,删除无效计数后,在限制范围内,则不限制操作

        if(!isOverMaxLimit(retainIpHits.intValue())) {

            return false;

        }

        return true;

    }

    // 是否超过最大限制

    private boolean isOverMaxLimit(Integer nowCount) {

        return nowCount > maxLimitIpHit;

    }

    // 每次访问必须记录

    private void recordNewIpRequest(String reqIp) {

        if(redisTemplate.exists(getIpHitCacheKey(reqIp))) {

            // 自增访问量

            redisTemplate.incr(getIpHitCacheKey(reqIp));

        }

        else {

            redisTemplate.set(getIpHitCacheKey(reqIp), "1");

        }

        redisTemplate.expire(getIpHitCacheKey(reqIp), checkLimitIpHitInterval);

        Long nowTime = System.currentTimeMillis() / 1000;

        // 使用 sorted set 保存记录时间,方便删除, zset 元素尽可能保持唯一,否则会导致统计有效时数据变少问题

        redisTemplate.zadd(getIpHitStartTimeCacheKey(reqIp), nowTime , reqIp + "-" + System.nanoTime() + Math.random());

        redisTemplate.expire(getIpHitStartTimeCacheKey(reqIp), checkLimitIpHitInterval);

    }

    /**

     * 统计计数周期内有效的的访问次数(删除无效统计)

     *

     * @param reqIp 请求ip

     * @return 有效计数

     */

    private Long countEffectiveIntervalIpHit(String reqIp) {

        // 删除统计周期外的计数

        Long nowTime = System.currentTimeMillis() / 1000;

        redisTemplate.zremrangeByScore(getIpHitStartTimeCacheKey(reqIp), nowTime - checkLimitIpHitInterval, nowTime);

        return redisTemplate.zcard(getIpHitStartTimeCacheKey(reqIp));

    }

    // ip 访问计数器缓存key

    private String getIpHitCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp;

    }

    // ip 访问开始时间缓存key

    private String getIpHitStartTimeCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp + ".starttime";

    }

}

  如上解决思路为:

    1. 使用 redis 做计数器工具,做到数据统一的同时,redis 的高性能特性也保证了整个应用性能;

    2. 使用 redis 的 incr 做自增,使用一个 zset 来保存记录开始时间,做双重保险;

    3. 在计数超过限制后,再做开始有效性的检测,保证准确的同时,避免了每次都手动检查有时间有效性的动作;

4. 正常的统计周期超时,借助redis自动淘汰机制清理,无需手动管理;

    5. 使用切面的方式进行请求拦截,避免业务代码入侵;

一个简单IP防刷工具类, x秒内最多允许y次单ip操作的更多相关文章

  1. 实现一个简单的http请求工具类

    OC自带的http请求用起来不直观,asihttprequest库又太大了,依赖也多,下面实现一个简单的http请求工具类 四个文件源码大致如下,还有优化空间 MYHttpRequest.h(类定义, ...

  2. 一个简单的Java文件工具类

    package com.xyworkroom.ntko.util; import java.io.File; import java.io.FileInputStream; import java.i ...

  3. 基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil

    基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil,把日常能用到的各种CRUD都进行了简化封装,让普通程序员只需关注业务即可,因为非常简单,故直接贴源代码,大家若需使用可以直 ...

  4. [Winform]一个简单的账户管理工具

    最近一直觉得注册的账户越来越多,帐号密码神马的容易弄混.自己就折腾了一个简单的账户管理工具,其实实现也挺简单,将每个账户的密码及相关密码提示信息,经aes算法加密之后保存到数据库,当前登录用户可以查询 ...

  5. Qt5.9一个简单的多线程实例(类QThread)(第一种方法)

    Qt开启多线程,主要用到类QThread.有两种方法,第一种用一个类继承QThread,然后重新改写虚函数run().当要开启新线程时,只需要实例该类,然后调用函数start(),就可以开启一条多线程 ...

  6. 超简单的okhttp封装工具类(上)

      版权声明:转载请注明出处:http://blog.csdn.net/piaomiao8179 https://blog.csdn.net/piaomiao8179/article/details/ ...

  7. 一个好的Java时间工具类DateTime

    此类的灵感来源于C# 虽然网上有什么date4j,但是jar太纠结了,先给出源码,可以继承到自己的util包中,作为一个资深程序员,我相信都有不少好的util工具类,我也希望经过此次分享,能带动技术大 ...

  8. java高并发系列 - 第15天:JUC中的Semaphore,最简单的限流工具类,必备技能

    这是java高并发系列第15篇文章 Semaphore(信号量)为多线程协作提供了更为强大的控制方法,前面的文章中我们学了synchronized和重入锁ReentrantLock,这2种锁一次都只能 ...

  9. C#-用Winform制作一个简单的密码管理工具

    为什么要做? 首先是为了练习一下c#. 想必大家都有过记不起某个平台的账号密码的经历,那种感受着实令人抓狂.那这么多账号密码根本记不住!我之前用python写过一个超级简单(连账号信息都写在代码里那种 ...

随机推荐

  1. vapor 生成xcode project 产生的错误解决方式

    运行vapor xcode时报错: Could not generate Xcode project: error: terminated(72): xcrun --sdk macosx --find ...

  2. Spring boot实现原生websocket

    网上的大部分教程是基于sockjs,这篇文章内容则是基于原生协议. 后台Spring boot 配置 @Configuration @EnableWebSocket public class WebS ...

  3. PHP7.* AES的加密解密

    之前写过一篇: PHP AES的加密解密-----[弃用] 使用的是php5.*之前的mcrypt_decrypt 函数,该函数已经在php7.1后弃用了,上马的是openssl的openssl_en ...

  4. 数据分析入门——numpy类库基础知识

    numpy类库是数据分析的利器,用于高性能的科学计算和数据分析.使用python进行数据分析,numpy这个类库是必须掌握的.numpy并没有提供强大的数据分析功能,而是它提供的ndarray数据结构 ...

  5. [原创]大数据:布隆过滤器C#版简单实现。

    public class BloomFilter { public BitArray _BloomArray; public Int64 BloomArryLength { get; } public ...

  6. 课堂小记---JavaScript(3)

    操作DOM var newDOM=DOM元素.cloneNode(参数); 克隆(复制)当前节点,参数默认为false只复制当前节点元素.参数为true时复制当前元素及其后代和所有属性. day06 ...

  7. log4j、使用log4j、打印sql日志

    添加pom文件依赖 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifa ...

  8. toString

    在java中使用toString: 如果在Java在输出定义一个Person类 然后实例化person  per 直接用system.out.println(per);无法得到我们想要的实例化内容 p ...

  9. LPC 语言基础

    LPC是一种基于C语言开发的编程语言 主要用于写MUD(多使用着迷宫)游戏 LPC是一种面向对象的语言,它有object的概念,但是没有class LPC有四中函数类型1> apply 只能被游 ...

  10. VB.NET或C#报错:You must hava a license to use this ActiveX control.

    VB.NET或者C# winform开发时,如果使用了Microsoft Visual Basic 6.0 ActiveX,并动态创建该控件实例,那么程序移植到没有安装Visual Basic 6.0 ...