2. 程式人生 > >一個簡單IP防刷工具類, 10分鐘內只最多允許1000次使用者操作

一個簡單IP防刷工具類, 10分鐘內只最多允許1000次使用者操作

阿新 發佈:2019-01-11

  IP防刷,也就是在短時間內有大量相同ip的請求,可能是惡意的,也可能是超出業務範圍的。總之,我們需要杜絕短時間內大量請求的問題,怎麼處理?

  其實這個問題,真的是太常見和太簡單了,但是真正來做的時候,可能就不一定很簡單了哦。

  我這裡給一個解決方案,以供參考!

主要思路或者需要考慮的問題為:

  1. 因為現在的伺服器環境幾乎都是分散式環境,所以,用本地計數的方式肯定是不行了,所以我們需要一個第三方的工具來輔助計數;

  2. 可以選用資料庫、快取中介軟體、zk等元件來解決分散式計數問題;

  3. 使用自增計數,儘量保持原子性,避免誤差;

  4. 統計週期為從當前倒推 interval 時間,還是直接以某個開始時間計數;

  5. 在何處進行攔截? 每個方法開始前? 還是請求入口處?

 

實現程式碼示例如下:

 

import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

 
import redis.clients.jedis.Jedis;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;

/**
 * IP 防刷工具類, 10分鐘內只最多允許1000次使用者操作
 */
@Aspect
public class IpFlushFirewall {

    @Resource
    private Jedis redisTemplate;

    /**
     * 最大ip限制次數
     */
    private static int maxLimitIpHit = 1000;

    
 
/**
     * 檢查時效,單位:秒
     */
    private static int checkLimitIpHitInterval = 600;

    // 自測試有效性
    public static void main(String[] args) {
        IpFlushFirewall ipTest = new IpFlushFirewall();
        // 測試時直接使用new Jedis(), 正式執行時使用 redis-data 元件配置即可
        ipTest.redisTemplate = new Jedis("127.0.0.1", 6379);
        for (int i = 0; i < 10; i++) {
            System.out.println("new action: +" + i);
            ipTest.testLoginAction(new Object());
            System.out.println("action: +" + i + ", passed...");
        }
    }

    // 測試訪問的方法
    public Object testLoginAction(Object req) {
        // ip防刷
        String reqIp = "127.0.0.1";
        checkIpLimit(reqIp);
        // 使用者資訊校驗
        System.out.println("login success...");
        // 返回使用者資訊
        return null;
    }

    // 檢測限制入口
    public void checkIpLimit(String ip) {
        if(isIpLimited(ip)) {
            throw new RuntimeException("操作頻繁,請稍後再試!");
        }
    }

    // ip 防刷 / 使用切面進行攔截
    @Before(value = "execution(public * com.*.*.*(..))")
    public void checkIpLimit() {
        RequestAttributes ra = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes sra = (ServletRequestAttributes) ra;
        HttpServletRequest request = sra.getRequest();
        String ip = getIp(request);
        if(isIpLimited(ip)) {
            throw new RuntimeException("操作頻繁,請稍後再試!");
        }
    }

    public static String getIp(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        // 多級代理問題
        if(ip.contains(",")) {
            ip = ip.substring(0, ip.indexOf(',')).trim();
        }
        return ip;
    }

    /**
     * 判斷ip是否受限制, 非核心場景,對於非原子的更新計數問題不大,否則考慮使用分散式鎖呼叫更新
     */
    private boolean isIpLimited(String reqIp) {
        String ipHitCache = getIpHitCacheKey(reqIp);
        // 先取舊資料作為本次判斷,再記錄本次訪問
        String hitsStr = redisTemplate.get(ipHitCache);
        recordNewIpRequest(reqIp);
        // 新週期內,首次訪問
        if(hitsStr == null) {
            return false;
        }
        // 之前有命中
        // 總數未超限,直接通過
        if(!isOverMaxLimit(Integer.valueOf(hitsStr) + 1)) {
            return false;
        }
        // 當前訪問後超過限制後,再判斷週期內的資料
        Long retainIpHits = countEffectiveIntervalIpHit(reqIp);
        redisTemplate.set(ipHitCache, retainIpHits + "");
        // 將有效計數更新回計數器,刪除無效計數後,在限制範圍內,則不限制操作
        if(!isOverMaxLimit(retainIpHits.intValue())) {
            return false;
        }
        return true;
    }

    // 是否超過最大限制
    private boolean isOverMaxLimit(Integer nowCount) {
        return nowCount > maxLimitIpHit;
    }

    // 每次訪問必須記錄
    private void recordNewIpRequest(String reqIp) {
        if(redisTemplate.exists(getIpHitCacheKey(reqIp))) {
            // 自增訪問量
            redisTemplate.incr(getIpHitCacheKey(reqIp));
        }
        else {
            redisTemplate.set(getIpHitCacheKey(reqIp), "1");
        }
        redisTemplate.expire(getIpHitCacheKey(reqIp), checkLimitIpHitInterval);
        Long nowTime = System.currentTimeMillis() / 1000;
        // 使用 sorted set 儲存記錄時間,方便刪除, zset 元素儘可能保持唯一,否則
        redisTemplate.zadd(getIpHitStartTimeCacheKey(reqIp), nowTime , reqIp + "-" + System.nanoTime() + Math.random());
        redisTemplate.expire(getIpHitStartTimeCacheKey(reqIp), checkLimitIpHitInterval);
    }

    /**
     * 統計計數週期內有效的的訪問次數(刪除無效統計)
     *
     * @param reqIp 請求ip
     * @return 有效計數
     */
    private Long countEffectiveIntervalIpHit(String reqIp) {
        // 刪除統計週期外的計數
        Long nowTime = System.currentTimeMillis() / 1000;
        redisTemplate.zremrangeByScore(getIpHitStartTimeCacheKey(reqIp), nowTime - checkLimitIpHitInterval, nowTime);
        return redisTemplate.zcard(getIpHitStartTimeCacheKey(reqIp));
    }

    // ip 訪問計數器快取key
    private String getIpHitCacheKey(String reqIp) {
        return "secure.ip.limit." + reqIp;
    }

    // ip 訪問開始時間快取key
    private String getIpHitStartTimeCacheKey(String reqIp) {
        return "secure.ip.limit." + reqIp + ".starttime";
    }

}

 

  如上解決思路為:

    1. 使用 redis 做計數器工具,做到資料統一的同時,redis 的高效能特性也保證了整個應用效能;

    2. 使用 redis 的 incr 做自增,使用一個 zset 來儲存記錄開始時間;

    3. 在計數超過限制後,再做開始有效性的檢測,保證準確的同時,避免了每次都手動檢查有時間有效性的動作;

    4. 使用切面的方式進行請求攔截,避免程式碼入侵;

相關推薦

一個簡單IP工具 10分鐘允許1000使用者操作

  IP防刷,也就是在短時間內有大量相同ip的請求,可能是惡意的,也可能是超出業務範圍的。總之,我們需要杜絕短時間內大量請求的問題,怎麼處理?   其實這個問題,真的是太常見和太簡單了,但是真正來做的時候,可能就不一定很簡單了哦。   我這裡給一個解決方案,以供參考! 主要思路或者需要考慮的問題為:

180705-一個簡單的冪等工具實現

scheduled check final https 內存問題 fault 可能 使用 關系 一個簡單的冪等工具類 在日常的工作中,業務的去重冪等場景屬於比較常見的需求,一般來講簡單的冪等工具類可以基於內存或者基於redis進行,本篇簡單介紹下,如何使用Guava的緩存

java高併發系列 - 第15天:JUC中的Semaphore簡單的限流工具必備技能

這是java高併發系列第15篇文章 Semaphore(訊號量)為多執行緒協作提供了更為強大的控制方法,前面的文章中我們學了synchronized和重入鎖ReentrantLock,這2種鎖一次都只能允許一個執行緒訪問一個資源,而訊號量可以控制有多少個執行緒可以同時訪問特定的資源。 Semaphore常用

微服務應用大行其道我提供一個dto和entity轉換工具方便大家做轉換少寫機械程式碼陪陪家人

微服務應用大行其道,我提供一個dto和entity轉換工具類,方便大家做轉換,少寫機械程式碼,多陪陪家人。 該工具類主要是對do

Bellman-Ford算法——為什麽要循環V-1?圖有n個點又不能有回路所以短路徑n-1邊。又因為每次循環至少relax一邊所以n-1就行了!

bold source 頂點 路由 偽代碼 font 端點 -a 自底向上 單源最短路徑 給定一個圖,和一個源頂點src,找到從src到其它所有所有頂點的最短路徑,圖中可能含有負權值的邊。 Dijksra的算法是一個貪婪算法,時間復雜度是O(VLogV)(使用最小堆)。但是

寫的一個簡單工具可以做物件型別的判斷和迭代出一個物件所有屬性的值

import java.lang.reflect.Field; /** * @author songzheng */ public class TypeUtil { /** * 得到某個物件型別物件 */ public static Cl

一個簡單工具實體bean轉換成map

簡單的實體類: package cn.ibm.com.mytest; public class Human {     private Integer hid;     private String hname;          public Integer getHid

Android Studio中寫了一個工具進行測試時在Manifest.xml中寫

這是包,utils下的HttpUtils是工具類 在Manifest.xml檔案下寫<instrumentation時報錯,<instrumentation></instrumentation>部分程式碼如下:<instrumentati

DbUtils一個替代JDBC的小工具

在使用之前需要有一些準備,我使用的是mysql資料庫 這裡建立的就是一個測試類,中間使用的註釋@Test就類似於main函式,可以直接右擊run as————》JUnit Test就可以執行,但是提前是你要有 import org.junit.Test這個包 package

3開發一個簡單的大學人員管理程式該程式可以管理大學的一些基本人員:學生(student)、教師(teacher)、教授(professor)。首先設計一個虛基person。通過該類儲存人員的

#include <iostream> #include<string.h> using namespace std; class person { private: string name,sex; int sage; public:

[Android開發] Json解析工具一個搞定Json的解析

一、簡介 利用遞迴的方式反射解析到bean裡面 二、詳細程式碼 1、 Json格式 例如伺服器指定規定json格式為: { "code": "……" , // 返回代號,預留欄位,預設返回null "type":"ER

java IP地址工具java IP地址獲取java獲取客戶端IP地址

java IP地址工具類,java IP地址獲取,java獲取客戶端IP地址   ================================ ©Copyright 蕃薯耀 2019年1月11日 http://fanshuyao.iteye.com/   impo

伺服器老被攻擊!一個好用到爆炸的IP埠掃描工具!從不怕攻破!

去年伺服器老是被攻擊,每次上線之後,上線的人急急忙忙下班,忘記關閉一些埠。導致有次伺服器被攻破。損失嚴重。注意的是 不同的電腦不同的CPU 每次最多建立的執行緒是不一樣的,可能建立執行緒過多,會報錯,所以如果報錯,自己修改下,每次掃描的個數,再剪成更小的段就可以了,或者再把s

Python 一個好用到爆炸的IP埠掃描工具

去年伺服器老是被攻擊,每次上線之後,上線的人急急忙忙下班,忘記關閉一些埠。導致有次伺服器被攻破。損失嚴重。這段時間再做儀器對接,把醫療器械對接到我們SAAS平臺,有些儀器是通過網線進行資料傳輸的。通過網線進行資料傳輸,無非就是通過埠號進行傳輸互動,但是找不到說明書,國內搞儀器

一個Java Jenkins工具支援建立構建帶引數構建刪除JenkinsJob停止Jenkins Job任務等

Jenkins是一個很強大的持續整合的工具,除了在Jenkins的頁面上我們可以去構建我們的job,我們也可以通過java程式碼來通過呼叫jenkins的api來做一些事情,使得我們的java web專案更加便捷,下面是我的一個工具類。 package com.vip.w

一個實用的java字串工具(擷取去尾轉碼)

package com.xx.sisp.iface.common.util; import org.apache.commons.lang3.StringUtils; import java.io.UnsupportedEncodingException;

使用Resources搭建Unity簡單的資源管理工具

idt 自動創建 update ems 單例類 col 音量 border awake Unity資源加載的方式有: 1.腳本拖拽(本地) 2.Resources加載(本地) ★ 3.AssetBundle加載(本地,遠程[www])★ 本篇將使用Resources類搭建一

Java 通過Xml導出Excel文件Java Excel 導出工具Java導出Excel工具

public emp cep sdf value 提交 bsp datetime rtm Java 通過Xml導出Excel文件,Java Excel 導出工具類,Java導出Excel工具類 ============================== ?Copyri

工具 無需再存數據

cati match func ring ret ear location reg util /** * 工具類 */var Utils = { /** * 獲得查詢參數 */ getQueryString: function(name) { var search =

list轉map工具根據指定的字段分組

ase efi per getclass 字段 first err war ray import org.apache.log4j.Logger;import java.lang.reflect.Method;import java.util.ArrayList;impor