2. 程式人生 > >從構建分布式秒殺系統聊聊驗證碼

從構建分布式秒殺系統聊聊驗證碼

阿新 發佈:2018-09-28
什麽 全面 ror thead 羊毛黨 51cto ring class word

技術分享圖片

前言

為了攔截大部分請求,秒殺案例前端引入了驗證碼。淘寶上很多人吐槽,等輸入完秒殺活動結束了,對,結束了...... 當然了,驗證碼的真正作用是,有效攔截刷單操作,讓羊毛黨空手而歸。

驗證碼

那麽到底什麽是驗證碼呢?驗證碼作為一種人機識別手段,其終極目的,就是區分正常人和機器的操作。我們常見的互聯網註冊、登錄、發帖、領優惠券、投票等等應用場景,都有被機器刷造成各類損失的風險。

目前常見的驗證碼形式多為圖片驗證碼,即數字、字母、文字、圖片物體等形式的傳統字符驗證碼。這類驗證碼看似簡單易操作,但實際用戶體驗較差(參見12306網站),且隨著OCR技術和打碼平臺的利用,圖片比較容易被破解,被破解之後就形同虛設。

這裏我們使用騰訊的智能人機安全驗證碼,告別傳統驗證碼的單點防禦,十道安全柵欄打造立體全面的安全驗證,將黑產拒之門外。

場景

技術分享圖片

下面我們來瞅瞅驗證碼輕松解決了那些場景安全問題:

  • 登錄註冊,為你防護撞庫×××、阻止註冊機批量註冊
  • 活動秒殺,有效攔截刷單操作,讓羊毛黨空手而歸
  • 點贊發帖,有效解決廣告屠版、惡意灌水、刷票問題
  • 數據保護,防止自動機、爬蟲盜取網頁內容和數據

申請

申請地址:https://007.qq.com/product.html

在線體驗:https://007.qq.com/online.html

只要一個QQ就可以免費申請,對於一般的企業OA系統或者個人博客網站,驗證碼免費套餐足夠了已經,具備以下特點:

  • 2000次/小時安全防護
  • 支持免驗證+分級驗證
  • 三分鐘快速接入
  • 全功能配置後臺
  • 支持HTTPS
  • 閾值內流量無廣告

2000次/小時的安全防護,一般很少達到如此效果,當然了即時超出閾值,頂多也就是多個廣告而已。

接入

快讀接入:https://007.qq.com/quick-start.html

接入與幫助提供了多種客戶端和服務端的接入案例,這裏我們使用我們秒殺案例中最熟悉的Java語言來接入。

前端

引入JS:

 <script src="https://ssl.captcha.qq.com/TCaptcha.js"></script>

頁面元素:

<!--點擊此元素會自動激活驗證碼,不一定是button,其他標簽也可以-->
<!--id : 元素的id(必須)-->
<!--data-appid : AppID(必須)-->
<!--data-cbfn : 回調函數名(必須)-->
<!--data-biz-state : 業務自定義透傳參數(可選)-->
<button id="TencentCaptcha"
        data-appid="*********"
        data-cbfn="callback">驗證</button>

JS回調:

<script type="text/javascript">
    window.callback = function(res){
        console.log(res)
        // res(未通過驗證)= {ret: 1, ticket: null}
        // res(驗證成功) = {ret: 0, ticket: "String", randstr: "String"}
        if(res.ret === 0){
            startSeckill(res)
        }
    }
    //後臺驗證ticket,並進入秒殺隊列
    function startSeckill(res){
        $.ajax({
            url : "startSeckill",
            type : ‘post‘,
            data : {‘ticket‘ : res.ticket,‘randstr‘:res.randstr},
            success : function(result) {
                //驗證是否通過,提示用戶
            }
        });
    }
</script>

後端

@Api(tags = "秒殺商品")
@RestController
@RequestMapping("/seckillPage")
public class SeckillPageController {

    @Autowired
    private ActiveMQSender activeMQSender;
    //自定義工具類
    @Autowired
    private HttpClient httpClient;
    //這裏自行配置參數
    @Value("${qq.captcha.url}")
    private String url;
    @Value("${qq.captcha.aid}")
    private String aid;
    @Value("${qq.captcha.AppSecretKey}")
    private String appSecretKey;

    @RequestMapping("/startSeckill")
    public Result  startSeckill(String ticket,String randstr,HttpServletRequest request) {
        HttpMethod method =HttpMethod.POST;
        MultiValueMap<String, String> params= new LinkedMultiValueMap<String, String>();
        params.add("aid", aid);
        params.add("AppSecretKey", appSecretKey);
        params.add("Ticket", ticket);
        params.add("Randstr", randstr);
        params.add("UserIP", IPUtils.getIpAddr(request));
        String msg = httpClient.client(url,method,params);
        /**
         * response: 1:驗證成功,0:驗證失敗,100:AppSecretKey參數校驗錯誤[required]
         * evil_level:[0,100],惡意等級[optional]
         * err_msg:驗證錯誤信息[optional]
         */
        //{"response":"1","evil_level":"0","err_msg":"OK"}
        JSONObject json = JSONObject.parseObject(msg);
        String response = (String) json.get("response");
        if("1".equals(response)){
            //進入隊列、假數據而已
            Destination destination = new ActiveMQQueue("seckill.queue");
            activeMQSender.sendChannelMess(destination,1000+";"+1);
            return Result.ok();
        }else{
            return Result.error("驗證失敗");
        }
    }
}

自定義請求工具類 HttpClient:

@Service
public class HttpClient {
    public String client(String url, HttpMethod method, MultiValueMap<String, String> params){
        RestTemplate client = new RestTemplate();
        HttpHeaders headers = new HttpHeaders();
        //  請勿輕易改變此提交方式,大部分的情況下,提交方式都是表單提交
        headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
        HttpEntity<MultiValueMap<String, String>> requestEntity = new HttpEntity<MultiValueMap<String, String>>(params, headers);
        //  執行HTTP請求
        ResponseEntity<String> response = client.exchange(url, HttpMethod.POST, requestEntity, String.class);
        return response.getBody();
    }
}

獲取IP地址工具類 IPUtils :

/**
 * IP地址
 */
public class IPUtils {

    private static Logger logger = LoggerFactory.getLogger(IPUtils.class);

    /**
     * 獲取IP地址
     * 使用Nginx等反向代理軟件, 則不能通過request.getRemoteAddr()獲取IP地址
     * 如果使用了多級反向代理的話,X-Forwarded-For的值並不止一個,而是一串IP地址,X-Forwarded-For中第一個非unknown的有效IP字符串,則為真實IP地址
     */
    public static String getIpAddr(HttpServletRequest request) {
        String ip = null;
        try {
            ip = request.getHeader("x-forwarded-for");
            if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("Proxy-Client-IP");
            }
            if (StringUtils.isEmpty(ip) || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("WL-Proxy-Client-IP");
            }
            if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("HTTP_CLIENT_IP");
            }
            if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getHeader("HTTP_X_FORWARDED_FOR");
            }
            if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) {
                ip = request.getRemoteAddr();
            }
        } catch (Exception e) {
            logger.error("IPUtils ERROR ", e);
        }
        // 使用代理,則獲取第一個IP地址
        if (StringUtils.isEmpty(ip) && ip.length() > 15) {
            if (ip.indexOf(",") > 0) {
                ip = ip.substring(0, ip.indexOf(","));
            }
        }
        return ip;
    }
}

案例效果圖

啟動項目訪問:http://localhost:8080/seckill/1000.shtml

技術分享圖片

技術分享圖片

定制接入

在系統登錄的時候,我們需要先校驗用戶名以及密碼,然後調用驗證碼操作,這裏就需要我們定制接入了。

<!-- 項目中使用了Vue -->
<div class="log_btn"  @click="login" >登錄</div>
login: function () {
    //這裏校驗用戶名以及密碼
    // 直接生成一個驗證碼對象
    var captcha = new TencentCaptcha(‘2001344788‘, function(res) {
        if(res.ret === 0){//回調成功
            var data = {‘username‘:username,‘password‘:password,‘ticket‘:res.ticket,‘randstr‘:res.randstr}
            $.ajax({
                type: "POST",
                url: "sys/loginCaptcha",
                data: data,
                dataType: "json",
                success: function(result){
                    //校驗是否成功
                }
            });
        }
    });
    captcha.show(); // 顯示驗證碼
},

後臺監控

騰訊後臺還提供了簡單實用的數據監控,如下:

技術分享圖片

小結

總體來說,系統接入人機驗證碼還是很方便的,並沒有技術難點,難點已經被提供商封裝,我們只需要簡單的調用即可。

秒殺案例:https://gitee.com/52itstyle/spring-boot-seckill

演示案例(點擊生成按鈕):http://jichou.52itstyle.com

從構建分布式秒殺系統聊聊驗證碼

相關推薦

構建系統聊聊驗證

什麽 全面 ror thead 羊毛黨 51cto ring class word 前言 為了攔截大部分請求,秒殺案例前端引入了驗證碼。淘寶上很多人吐槽,等輸入完秒殺活動結束了,對,結束了...... 當然了,驗證碼的真正作用是,有效攔截刷單操作,讓羊毛黨空手而歸。 驗證

構建系統聊聊Lock鎖使用中的坑

Lock 事物 秒殺 前言 在單體架構的秒殺活動中,為了減輕DB層的壓力,這裏我們采用了Lock鎖來實現秒殺用戶排隊搶購。然而很不幸的是盡管使用了鎖,但是測試過程中仍然會超賣,執行了N多次發現依然有問題。輸出一下代碼吧,可能大家看的比較真切: @Service("seckillService")

構建系統聊聊限流的多種實現

秒殺 限流 分布式 OpenResty 前言 俗話說的好,冰凍三尺非一日之寒,滴水穿石非一日之功,羅馬也不是一天就建成的。兩周前秒殺案例初步成型,分享到了中國最大的同×××友網站-碼雲。同時也收到了不少小夥伴的建議和投訴。我從不認為分布式、集群、秒殺這些就應該是大廠的專利,在互聯網的今天無論

構建系統聊聊WebSocket推送通知

shadow [1] 小夥伴 ref 相關 消費 png 重試 們的 前言 秒殺架構到後期,我們采用了消息隊列的形式實現搶購邏輯,那麽之前拋出過這樣一個問題:消息隊列異步處理完每個用戶請求後,如何通知給相應用戶秒殺成功? 場景映射 首先,我們舉一個生活中比較常見的例子:我

構建系統聊聊

調用 you tel bre policy 學習 感悟 ant 操作 前言 最近懶成一坨屎,學不動系列一波接一波,大多還都是底層原理相關的。上周末抽時間重讀了周誌明大濕的 JVM 高效並發部分,每讀一遍都有不同的感悟。路漫漫,借此,把前段時間搞著玩的秒殺案例中的分布式鎖深

SpringBoot開發案例0到1構建系統

SpringBoot redis kafka 秒殺 前言 最近,被推送了不少秒殺架構的文章,忙裏偷閑自己也總結了一下互聯網平臺秒殺架構設計,當然也借鑒了不少同學的思路。俗話說,脫離案例講架構都是耍流氓,最終使用SpringBoot模擬實現了部分秒殺場景,同時跟大家分享交流一下。 秒殺場景 秒

構建分散式系統聊聊驗證

前言 為了攔截大部分請求,秒殺案例前端引入了驗證碼。淘寶上很多人吐槽,等輸入完秒殺活動結束了,對,結束了...... 當然了,驗證碼的真正作用是,有效攔截刷單操作,讓羊毛黨空手而歸。 驗證碼 那麼到底什麼是驗證碼呢?驗證碼作為一種人機識別手段,其終極目的,就是區分正常人和機器的操作。我們常見的網際網路註冊、

構建分散式系統聊聊Disruptor高效能佇列

前言 秒殺架構持續優化中,基於自身認知不足之處在所難免,也請大家指正,共同進步。文章標題來自碼友的建議,希望可以把阻塞佇列ArrayBlockingQueue這個佇列替換成Disruptor,由於之前曾接觸過這個東西,聽說很不錯,正好藉此機會整合進來。 簡介 LMAX

構建分散式系統聊聊WebSocket推送通知

前言 秒殺架構到後期,我們採用了訊息佇列的形式實現搶購邏輯,那麼之前丟擲過這樣一個問題:訊息佇列非同步處理完每個使用者請求後,如何通知給相應使用者秒殺成功? 場景對映 首先,我們舉一個生活中比較常見的例子:我們去銀行辦理業務,一般會選擇相關業務列印一個排號紙,然後就

構建分散式系統聊聊限流特技 侵立刪

轉自:https://mp.weixin.qq.com/s/Jgp4KCRmuqVp6W6nd3Bxtw 前言 俗話說的好,冰凍三尺非一日之寒,滴水穿石非一日之功,羅馬也不是一天就建成的。兩週前秒殺案例初步成型,分享到了中國最大的同性交友網站-碼雲。同時也收到了不

構建分散式系統聊聊限流特技

前言俗話說的好,冰凍三尺非一日之寒,滴水穿石非一日之功,羅馬也不是一天就建成的。兩週前秒殺案例初步成型,分享到了中國最大的同性交友網站-碼雲。同時也收到了不少小夥伴的建議和投訴。我從不認為分散式、叢集、秒殺這些就應該是大廠的專利,在網際網路的今天無論什麼時候都要時刻武裝自己,

使用.net core構建SAAS系統(目錄)

服務 自動化 分布 監控 red 團隊管理 linux -- 分庫 一 前言 二 項目背景 三 項目架構-從單體應用到微服務 四 大數據量下的分庫分表 五 緩存處理--進程內緩存與Redis的使用 六 使用MNS隊列來流量削峰 七 百萬Job的任務調度系統 八

Redis構建

服務器 數據庫 成功率 客戶端 watch 1、前言  為什麽要構建鎖呢?因為構建合適的鎖可以在高並發下能夠保持數據的一致性,即客戶端在執行連貫的命令時上鎖的數據不會被別的客戶端的更改而發生錯誤。同時還能夠保證命令執行的成功率。  看到這裏你不禁要問redis中不是有事務操作麽?事

大數據系統巧實現,全局數據調度管理不再難

存在 png 但是 影響 商業 system 驗證 題目 創建 背景 看到這個題目,我們會有很多疑問:什麽是分布式大數據系統中的全局數據管理?為什麽要從全局對數據進行管理?這種對數據從全局進行分布和調度的策略是在什麽樣的背景下產生的?如果我們不解決全局數據管理的問題,分布式

Linux之使用MogileFS文件系統並使用nginx實現反向代理

mogilefs與nginx的點點滴滴MogileFS是一套高效的文件自動備份組件,由Six Apart開發,廣泛應用在包括LiveJournal等web2.0站點上。 MogileFS的特性: 工作在應用層,無單點,自動文件復制(復制的最小單位是class,而不是文件),傳輸中立且使用nfs或者http協議

MFS文件系統管理

str 支持 metadata 備份 共享 restart cli 來講 並且 MFS官方網站http://www.moosefs.org/reference-guide.html mooseFS(moose駝鹿)是一款網絡分布式文件系統,它把數據分散到多臺服務器上,但對於

文件系統--------GlusterFS最佳實戰

文件系統 分布式 glusterfs 1. 背景 GlusterFS 是一個開源的分布式文件系統,具有強大的橫向擴展能力,通過擴展能夠支持數PB存儲容量和處理數千客戶端。GlusterFS借助TCP/IP或InfiniBand RDMA(一種支持多並發鏈接的“轉換線纜”技術)網絡將物理分布的

CentOS 7 安裝配置文件系統 FastDFS 5.10

fastdfs下載目前作者最後一次releases的時間的17年4月6號,對應的最新版本是5.10,直接在余大的GitHub上下載就可以了: https://github.com/happyfish100/fastdfs/releases如上圖,由於FastDFS是純C語言實現,只支持Linux、FreeBS

Linux搭建MFS文件系統

分布式 mfs 文件 說明:架構規劃元數據服務器 mfs-master-1 172.16.100.2備份服務器 mfs-metalogger 172.16.100.4數據存儲服務器 mfs-chunkserver-1

各種文件系統簡介

程序 mapred 同時 可擴展 .info 生產環境 故障 接受 51cto from:http://elf8848.iteye.com/blog/1724382 常見的分布式文件系統有,GFS、HDFS、Lustre 、Ceph 、GridFS 、mogil