IP防刷,也就是在短时间内有大量相同ip的请求,可能是恶意的,也可能是超出业务范围的。总之,我们需要杜绝短时间内大量请求的问题,怎么处理?

  其实这个问题,真的是太常见和太简单了,但是真正来做的时候,可能就不一定很简单了哦。

  我这里给一个解决方案,以供参考!

主要思路或者需要考虑的问题为:

  1. 因为现在的服务器环境几乎都是分布式环境,所以,用本地计数的方式肯定是不行了,所以我们需要一个第三方的工具来辅助计数;

  2. 可以选用数据库、缓存中间件、zk等组件来解决分布式计数问题;

  3. 使用自增计数,尽量保持原子性,避免误差;

  4. 统计周期为从当前倒推 interval 时间,还是直接以某个开始时间计数;

  5. 在何处进行拦截? 每个方法开始前? 还是请求入口处?

实现代码示例如下:

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Before;

import org.springframework.web.context.request.RequestAttributes;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import redis.clients.jedis.Jedis;

import javax.annotation.Resource;

import javax.servlet.http.HttpServletRequest;

/**

 * IP 防刷工具类, 10分钟内只最多允许1000次用户操作

 */

@Aspect

public class IpFlushFirewall {

    @Resource

    private Jedis redisTemplate;

    /**

     * 最大ip限制次数

     */

    private static int maxLimitIpHit = 1000;

    /**

     * 检查时效,单位:秒

     */

    private static int checkLimitIpHitInterval = 600;

    // 自测试有效性

    public static void main(String[] args) {

        IpFlushFirewall ipTest = new IpFlushFirewall();

        // 测试时直接使用new Jedis(), 正式运行时使用 redis-data 组件配置即可

        ipTest.redisTemplate = new Jedis("127.0.0.1", 6379);

        for (int i = 0; i < 10; i++) {

            System.out.println("new action: +" + i);

            ipTest.testLoginAction(new Object());

            System.out.println("action: +" + i + ", passed...");

        }

    }

    // 测试访问的方法

    public Object testLoginAction(Object req) {

        // ip防刷

        String reqIp = "127.0.0.1";

        checkIpLimit(reqIp);

        // 用户信息校验

        System.out.println("login success...");

        // 返回用户信息

        return null;

    }

    // 检测限制入口

    public void checkIpLimit(String ip) {

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    // ip 防刷 / 使用切面进行拦截

    @Before(value = "execution(public * com.*.*.*(..))")

    public void checkIpLimit() {

        RequestAttributes ra = RequestContextHolder.getRequestAttributes();

        ServletRequestAttributes sra = (ServletRequestAttributes) ra;

        HttpServletRequest request = sra.getRequest();

        String ip = getIp(request);

        if(isIpLimited(ip)) {

            throw new RuntimeException("操作频繁,请稍后再试!");

        }

    }

    public static String getIp(HttpServletRequest request) {

        String ip = request.getHeader("x-forwarded-for");

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getRemoteAddr();

        }

        // 多级代理问题

        if(ip.contains(",")) {

            ip = ip.substring(0, ip.indexOf(',')).trim();

        }

        return ip;

    }

    /**

     * 判断ip是否受限制, 非核心场景,对于非原子的更新计数问题不大,否则考虑使用分布式锁调用更新

     */

    private boolean isIpLimited(String reqIp) {

        String ipHitCache = getIpHitCacheKey(reqIp);

        // 先取旧数据作为本次判断,再记录本次访问

        String hitsStr = redisTemplate.get(ipHitCache);

        recordNewIpRequest(reqIp);

        // 新周期内,首次访问

        if(hitsStr == null) {

            return false;

        }

        // 之前有命中

        // 总数未超限,直接通过

        if(!isOverMaxLimit(Integer.valueOf(hitsStr) + 1)) {

            return false;

        }

        // 当前访问后超过限制后,再判断周期内的数据

        Long retainIpHits = countEffectiveIntervalIpHit(reqIp);

        redisTemplate.set(ipHitCache, retainIpHits + "");

        // 将有效计数更新回计数器,删除无效计数后,在限制范围内,则不限制操作

        if(!isOverMaxLimit(retainIpHits.intValue())) {

            return false;

        }

        return true;

    }

    // 是否超过最大限制

    private boolean isOverMaxLimit(Integer nowCount) {

        return nowCount > maxLimitIpHit;

    }

    // 每次访问必须记录

    private void recordNewIpRequest(String reqIp) {

        if(redisTemplate.exists(getIpHitCacheKey(reqIp))) {

            // 自增访问量

            redisTemplate.incr(getIpHitCacheKey(reqIp));

        }

        else {

            redisTemplate.set(getIpHitCacheKey(reqIp), "1");

        }

        redisTemplate.expire(getIpHitCacheKey(reqIp), checkLimitIpHitInterval);

        Long nowTime = System.currentTimeMillis() / 1000;

        // 使用 sorted set 保存记录时间,方便删除, zset 元素尽可能保持唯一,否则会导致统计有效时数据变少问题

        redisTemplate.zadd(getIpHitStartTimeCacheKey(reqIp), nowTime , reqIp + "-" + System.nanoTime() + Math.random());

        redisTemplate.expire(getIpHitStartTimeCacheKey(reqIp), checkLimitIpHitInterval);

    }

    /**

     * 统计计数周期内有效的的访问次数(删除无效统计)

     *

     * @param reqIp 请求ip

     * @return 有效计数

     */

    private Long countEffectiveIntervalIpHit(String reqIp) {

        // 删除统计周期外的计数

        Long nowTime = System.currentTimeMillis() / 1000;

        redisTemplate.zremrangeByScore(getIpHitStartTimeCacheKey(reqIp), nowTime - checkLimitIpHitInterval, nowTime);

        return redisTemplate.zcard(getIpHitStartTimeCacheKey(reqIp));

    }

    // ip 访问计数器缓存key

    private String getIpHitCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp;

    }

    // ip 访问开始时间缓存key

    private String getIpHitStartTimeCacheKey(String reqIp) {

        return "secure.ip.limit." + reqIp + ".starttime";

    }

}

  如上解决思路为:

    1. 使用 redis 做计数器工具,做到数据统一的同时,redis 的高性能特性也保证了整个应用性能;

    2. 使用 redis 的 incr 做自增,使用一个 zset 来保存记录开始时间,做双重保险;

    3. 在计数超过限制后,再做开始有效性的检测,保证准确的同时,避免了每次都手动检查有时间有效性的动作;

4. 正常的统计周期超时,借助redis自动淘汰机制清理,无需手动管理;

    5. 使用切面的方式进行请求拦截,避免业务代码入侵;

一个简单IP防刷工具类, x秒内最多允许y次单ip操作的更多相关文章

  1. 实现一个简单的http请求工具类

    OC自带的http请求用起来不直观,asihttprequest库又太大了,依赖也多,下面实现一个简单的http请求工具类 四个文件源码大致如下,还有优化空间 MYHttpRequest.h(类定义, ...

  2. 一个简单的Java文件工具类

    package com.xyworkroom.ntko.util; import java.io.File; import java.io.FileInputStream; import java.i ...

  3. 基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil

    基于Dapper二次封装了一个易用的ORM工具类:SqlDapperUtil,把日常能用到的各种CRUD都进行了简化封装,让普通程序员只需关注业务即可,因为非常简单,故直接贴源代码,大家若需使用可以直 ...

  4. [Winform]一个简单的账户管理工具

    最近一直觉得注册的账户越来越多,帐号密码神马的容易弄混.自己就折腾了一个简单的账户管理工具,其实实现也挺简单,将每个账户的密码及相关密码提示信息,经aes算法加密之后保存到数据库,当前登录用户可以查询 ...

  5. Qt5.9一个简单的多线程实例(类QThread)(第一种方法)

    Qt开启多线程,主要用到类QThread.有两种方法,第一种用一个类继承QThread,然后重新改写虚函数run().当要开启新线程时,只需要实例该类,然后调用函数start(),就可以开启一条多线程 ...

  6. 超简单的okhttp封装工具类(上)

      版权声明:转载请注明出处:http://blog.csdn.net/piaomiao8179 https://blog.csdn.net/piaomiao8179/article/details/ ...

  7. 一个好的Java时间工具类DateTime

    此类的灵感来源于C# 虽然网上有什么date4j,但是jar太纠结了,先给出源码,可以继承到自己的util包中,作为一个资深程序员,我相信都有不少好的util工具类,我也希望经过此次分享,能带动技术大 ...

  8. java高并发系列 - 第15天:JUC中的Semaphore,最简单的限流工具类,必备技能

    这是java高并发系列第15篇文章 Semaphore(信号量)为多线程协作提供了更为强大的控制方法,前面的文章中我们学了synchronized和重入锁ReentrantLock,这2种锁一次都只能 ...

  9. C#-用Winform制作一个简单的密码管理工具

    为什么要做? 首先是为了练习一下c#. 想必大家都有过记不起某个平台的账号密码的经历,那种感受着实令人抓狂.那这么多账号密码根本记不住!我之前用python写过一个超级简单(连账号信息都写在代码里那种 ...

随机推荐

  1. ***远程连接MYSQL提示1130 - Host is not allowed to connect to this MySQL server

    如果你想连接你的mysql的时候发生这个错误: ERROR 1130: Host '192.168.1.3' is not allowed to connect to this MySQL serve ...

  2. Filebeat+Kafka+Logstash+ElasticSearch+Kibana搭建完整版

    1. 了解各个组件的作用 Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读) Kafka ...

  3. 检查linux版本命令

    lsb_release -a cat /etc/issue cat /proc/version uname -a cat /etc/redhat-release

  4. Linux命令学习: grep命令

    grep 查找命令 遍历当前目录下的所有文件,查找文本所在的文件 grep -r "hello"

  5. Python 常用Web框架的比较

    转载来自:https://www.cnblogs.com/sunshine-1/p/7372934.html 从GitHub中整理出的15个最受欢迎的Python开源框架.这些框架包括事件I/O,OL ...

  6. 10_27_unittest

    接口测试的本质 就是测试类里面的函数. 单元测试的本质  测试函数 代码级别 单元测试框架 unittest 接口  pytest  web 功能测试: 1.写用例 ----> TestCase ...

  7. 怎么给easyui中的datagrid加水平滚动条

    注意如下几个点就行: 1.数据网格(DataGrid)所在的table属性上级div无需设置width: 2..datagrid属性:fitColumns为false 或者不填 3.在style中给. ...

  8. hive的概述和数据类型

    一.Hive概述 1.Hive简介 Hive数据仓库软件有助于使用SQL读取.编写和管理驻留在分布式存储中的大型数据集.提供了命令行工具和JDBC驱动程序以将用户连接到Hive. Hive可以将SQL ...

  9. 【Linux】如何在Linux上安装使用SSH

    SSH是什么? Secure Shell 安全外壳协议 建立在应用层基础上的安全协议 可靠,专为远程登录会话和其他网络服务提供安全性的协议 有效防止远程管理过程中的信息泄露问题 SSH客户端适用于多种 ...

  10. 3步永久性激活pycharm 亲测有效

    ----------破解后,有效时间会到2099年------------ 1.下载JAR包:此JAR包的目的就是让截获截止时间并骗过pycharm 链接:https://pan.baidu.com/ ...