​在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求和暴力攻击的情况,下面的教程,通过Spring Boot提供的HandlerInterceptor和Redis 针对 Url + ip在一定时间内访问的次数来将ip禁用,可以根据自己的业务需求进行相应的修改,以达到自己的目的。

首先创建一个自定义的拦截器类,也是最核心的代码。

/**

 * @ProjectName: cdkj-framework

 * @Package: com.cdkjframework.core.spring.filter

 * @ClassName: FilterHandlerInterceptor

 * @Description: 拦截过滤

 * @Author: xiaLin

 * @Date: 2022/6/22 13:36

 * @Version: 1.0

 */

public class FilterHandlerInterceptor implements HandlerInterceptor {

  /**

   * 日志

   */

  private LogUtils logUtils = LogUtils.getLogger(FilterHandlerInterceptor.class);

  /**

   * redis锁

   */

  private final RedisLettuceLock redisLettuceLock;

  /**

   * IP头部变量(可能通过Nginx代理后)

   */

  private static final String HEADER_IP = "X-Real-IP";

  /**

   * 锁IP请求URL地址KEY

   */

  private static final String LOCK_IP_URL_KEY = "lock_ip_";

  /**

   * IP请求URL地址时间

   */

  private static final String IP_URL_REQ_TIME = "ip_url_times_";

  /**

   * 极限时间

   */

  private static final long LIMIT_TIMES = 5;

  /**

   * IP锁定时间 秒

   */

  private static final int IP_LOCK_TIME = 60;

  /**

   * 构建函数

   */

  public FilterHandlerInterceptor(RedisLettuceLock redisLettuceLock) {

    this.redisLettuceLock = redisLettuceLock;

  }

  /**

   * 预处理

   *

   * @param request  请求

   * @param response 响应

   * @param o        参数

   * @return 返回结果

   * @throws Exception 异常信息

   */

  @Override

  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {

    String ip = request.getHeader(HEADER_IP);

    if (StringUtils.isNullAndSpaceOrEmpty(ip)) {

      ip = request.getRemoteAddr();

    }

    logUtils.info("request 请求地址 Uri={},ip={}", request.getRequestURI(), ip);

    if (ipIsLock(ip)) {

      logUtils.info("ip访问被禁止={}", ip);

      ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");

      returnJson(response, builder);

      return false;

    }

    if (!addRequest(ip, request.getRequestURI())) {

      ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");

      returnJson(response, builder);

      return false;

    }

    return true;

  }

  @Override

  public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

  }

  @Override

  public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

  }

  /**

   * IP 是否已锁

   *

   * @param ip IP 地址

   * @return 返回是否成功

   */

  private Boolean ipIsLock(String ip) {

    if (redisLettuceLock.lock(LOCK_IP_URL_KEY + ip)) {

      return true;

    }

    return false;

  }

  /**

   * 添加请求信息

   *

   * @param ip  IP 地址

   * @param uri 请求路径

   * @return 返回是否成功

   */

  private Boolean addRequest(String ip, String uri) {

    String key = IP_URL_REQ_TIME + ip + uri;

    if (RedisUtils.syncExists(key)) {

      long time = RedisUtils.syncIncr(key, IntegerConsts.ONE);

      if (time >= LIMIT_TIMES) {

        redisLettuceLock.lock(LOCK_IP_URL_KEY + ip, IP_LOCK_TIME, ip);

        return false;

      }

    } else {

      redisLettuceLock.lock(key, (long) IntegerConsts.ONE, IntegerConsts.ONE);

    }

    return true;

  }

  /**

   * 返回结果

   *

   * @param response 响应

   * @param builder  返回结果

   * @throws Exception 异常信息

   */

  private void returnJson(HttpServletResponse response, ResponseBuilder builder) throws Exception {

    ResponseUtils.out(response, builder);

  }

}

  最后将上面自定义的拦截器通过WebMvcConfigurer下的registry.addInterceptor添加一下,就生效了。

/**

 * @ProjectName: cdkj-framework

 * @Package: com.cdkjframework.core.spring.filter

 * @ClassName: WebMvcFilterConfigurerAdapter

 * @Description: java类作用描述

 * @Author: xiaLin

 * @Date: 2022/6/22 13:37

 * @Version: 1.0

 */

@RequiredArgsConstructor

public class WebMvcFilterConfigurerAdapter implements WebMvcConfigurer {

    /**

     * redis锁

     */

    private final RedisLettuceLock redisLettuceLock;

    /**

     * 过虑句柄拦截器

     *

     * @return 返回拦截器

     */

    @Bean

    private FilterHandlerInterceptor filterHandlerInterceptor() {

        return new FilterHandlerInterceptor(redisLettuceLock);

    }

    /**

     * 添加 拦截器

     *

     * @param registry 拦截器注册

     */

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(filterHandlerInterceptor()).addPathPatterns("/**");

    }

}

  自己可以写一个for循环来测试改功能,这里就不具体详细介绍了。

文章中的工具类可参考:https://gitee.com/cdkjframework/common/tree/1.0.2/

Spring Boot 防止接口被恶意刷新、暴力请求的更多相关文章

  1. spring boot rest 接口集成 spring security(2) - JWT配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  2. spring boot rest 接口集成 spring security(1) - 最简配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  3. Spring Boot Web应用开发 CORS 跨域请求支持:

    Spring Boot Web应用开发 CORS 跨域请求支持: 一.Web开发经常会遇到跨域问题,解决方案有:jsonp,iframe,CORS等等CORS与JSONP相比 1. JSONP只能实现 ...

  4. 46. Spring Boot中使用AOP统一处理Web请求日志

    在之前一系列的文章中都是提供了全部的代码,在之后的文章中就提供核心的代码进行讲解.有什么问题大家可以给我留言或者加我QQ,进行咨询. AOP为Aspect Oriented Programming的缩 ...

  5. Spring boot CommandLineRunner接口使用例子

    前言 Spring boot的CommandLineRunner接口主要用于实现在应用初始化后,去执行一段代码块逻辑,这段初始化代码在整个应用生命周期内只会执行一次. 如何使用CommandLineR ...

  6. spring boot: 设计接口站api的版本号,支持次版本号(spring boot 2.3.2)

    一,为什么接口站的api要使用版本号? 1,当服务端接口的功能发生改进后, 客户端如果不更新版本,    则服务端返回的功能可能不能使用,    所以在服务端功能升级后,     客户端也要相应的使用 ...

  7. spring boot:给接口增加签名验证(spring boot 2.3.1)

    一,为什么要给接口做签名验证? 1,app客户端在与服务端通信时,通常都是以接口的形式实现, 这种形式的安全方面有可能出现以下问题: 被非法访问(例如:发短信的接口通常会被利用来垃圾短信) 被重复访问 ...

  8. 寻找写代码感觉(三)之使用 Spring Boot 编写接口

    一.前言 项目配置完之后,接着就是写接口了,那咱们就开始吧. 二.项目配置补充知识点 上篇文章写的是关于项目属性配置的一些知识,这里针对上次遗忘内容进行补充如下: 2.1.获取配置文件的值 在appl ...

  9. spring boot:使接口返回统一的RESTful格式数据(spring boot 2.3.1)

    一,为什么要使用REST? 1,什么是REST? REST是软件架构的规范体系,它把资源的状态用URL进行资源定位, 以HTTP动作(GET/POST/DELETE/PUT)描述操作 2,REST的优 ...

  10. spring boot 统一接口异常返回值

    创建业务 Exception 一般在实际项目中,推荐创建自己的 Exception 类型,这样在后期会更容易处理,也比较方便统一,否则,可能每个人都抛出自己喜欢的异常类型,而造成代码混乱 Servic ...

随机推荐

  1. npm卸载"Tracker idealTree already exists"

    问题 使用npm卸载babel插件的时候执行命令npm uninstall babel...出现如下报错 npm ERR! Tracker "idealTree" already ...

  2. 垃圾回收、python中的流程控制

    垃圾回收机制 1.概念 垃圾回收机制(GC):是Python解释器自带一种机制,专门用来回收不可用的变量值所占用的内存空间 2.原理 Python的垃圾回收机制(GC)主要使用引用计数(referen ...

  3. C++ 动态规划:一维动态规划,背包问题,区间动态规划

    C++ 动态规划 动态规划的定义 动态规划(Dynamic Programming,DP)是运筹学的一个分支,是求解决策过程最优化的过程.动态规划是一种在数学.管理科学.计算机科学.经济学和生物信息学 ...

  4. c#对接每人计平台获取数据

    使用c#对接到晓舟科技的客流统计设备.那么需要先注册一个平台的账号 地址:http://mrd.meirenji.cn/login;JSESSIONID=323cbd18-29ed-4232-8c04 ...

  5. esp-01和esp-01s烧录固件和程序

    准备工具 USB-TTL 杜邦线若干 esp-01s烧录固件 我烧录的固件是 micropython, 使用的软件是 uPyCraft esp-01s烧录固件接线方法: esp-01s usb-ttl ...

  6. 关于pip3 ImportError: cannot import name 'main'的报错的原因及解决办法

    这个问题的出现大多数都是因为你用错误的方法去升级pip3导致的 先来说一下正确的升级方法: python3 -m pip install --upgrade pip 我发现升级后版本变为了 19.x, ...

  7. oracle 分析函数——ration_to_report 求占有率(百分比)

    oracle 的分析函数有很多,但是这个函数总是会忘记,我想通过这种方式能让自己记起来,不至于下次还要百度. 创表.表数据(平时练手的表): prompt PL/SQL Developer impor ...

  8. ArcGIS 通过字段计算 设置顺序编码

    地块编号="前缀" & left("0000",4-len( [FID]+1)) & ([FID] +1)

  9. 谈谈我的「数字文具盒」 - NextCloud

    接下来两篇主要谈论 Nextcloud 和 Obsidian,因为篇幅较长,所以单出罗列出来.本文主要介绍 Nextcloud 以及使用中的技巧和心得体会. Nextcloud Nextcloud 是 ...

  10. 医疗在线OLAP场景下基于Apache Hudi 模式演变的改造与应用

    背景 在 Apache Hudi支持完整的Schema演变的方案中(https://mp.weixin.qq.com/s/rSW864o2YEbHw6oQ4Lsq0Q), 读取方面,只完成了SQL o ...