幾行代碼，輕松搞定 Spring Boot 接口惡意刷新和暴力請求！

Java精選面試題（微信小程序）：5000+道面試題和選擇題，包含Java基礎、并發、JVM、線程、MQ系列、Redis、Spring系列、Elasticsearch、Docker、K8s、Flink、Spark、架構設計、大廠真題等，在線隨時刷題！

在實際項目使用中，必須要考慮服務的安全性，當服務部署到互聯網以后，就要考慮服務被惡意請求和暴力攻擊的情況，下面的教程，通過intercept和redis針對url+ip在一定時間內訪問的次數來將ip禁用，可以根據自己的需求進行相應的修改，來打打自己的目的；

首先工程為springboot框架搭建，不再詳細敘述。

直接上核心代碼。

首先創建一個自定義的攔截器類，也是最核心的代碼：

/**  * @package: com.technicalinterest.group.interceptor  * @className: IpUrlLimitInterceptor  * @description: ip+url重復請求現在攔截器  * @author: Shuyu.Wang，公眾號Java精選，有驚喜！  * @since: 0.1  **/ @Slf4j publicclass IpUrlLimitInterceptor implements HandlerInterceptor { private RedisUtil getRedisUtil() { return  SpringContextUtil.getBean(RedisUtil.class);  } privatestaticfinal String LOCK_IP_URL_KEY="lock_ip_"; privatestaticfinal String IP_URL_REQ_TIME="ip_url_times_"; privatestaticfinallong LIMIT_TIMES=5; privatestaticfinalint IP_LOCK_TIME=60; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {   log.info("request請求地址uri={},ip={}", httpServletRequest.getRequestURI(), IpAdrressUtil.getIpAdrress(httpServletRequest)); if (ipIsLock(IpAdrressUtil.getIpAdrress(httpServletRequest))){    log.info("ip訪問被禁止={}",IpAdrressUtil.getIpAdrress(httpServletRequest));    ApiResult result = new ApiResult(ResultEnum.LOCK_IP);    returnJson(httpServletResponse, JSON.toJSONString(result));    returnfalse;   } if(!addRequestTime(IpAdrressUtil.getIpAdrress(httpServletRequest),httpServletRequest.getRequestURI())){    ApiResult result = new ApiResult(ResultEnum.LOCK_IP);    returnJson(httpServletResponse, JSON.toJSONString(result));    returnfalse;   } returntrue;  } @Override public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {  } @Override public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {  } /**   * @Description: 判斷ip是否被禁用   * @author: shuyu.wang   * @date: 2019-10-12 13:08   * @param ip   * @return java.lang.Boolean   */ private Boolean ipIsLock(String ip){   RedisUtil redisUtil=getRedisUtil(); if(redisUtil.hasKey(LOCK_IP_URL_KEY+ip)){    returntrue;   } returnfalse;  } /**   * @Description: 記錄請求次數   * @author: shuyu.wang   * @date: 2019-10-12 17:18   * @param ip   * @param uri   * @return java.lang.Boolean   */ private Boolean addRequestTime(String ip,String uri){   String key=IP_URL_REQ_TIME+ip+uri;   RedisUtil redisUtil=getRedisUtil(); if (redisUtil.hasKey(key)){    long time=redisUtil.incr(key,(long)1);    if (time>=LIMIT_TIMES){     redisUtil.getLock(LOCK_IP_URL_KEY+ip,ip,IP_LOCK_TIME);     returnfalse;    }   }else {    redisUtil.getLock(key,(long)1,1);   } returntrue;  } private void returnJson(HttpServletResponse response, String json) throws Exception {   PrintWriter writer = null;   response.setCharacterEncoding("UTF-8");   response.setContentType("text/json; charset=utf-8"); try {    writer = response.getWriter();    writer.print(json);   } catch (IOException e) {    log.error("LoginInterceptor response error ---> {}", e.getMessage(), e);   } finally {    if (writer != null) {     writer.close();    }   }  } }

代碼中的使用的是分布式鎖的形式，這樣可以最大程度保證線程安全和功能的實現效果。代碼中設置的是1S內同一個接口通過同一個ip訪問5次，就將該ip禁用1個小時，根據自己項目需求可以自己適當修改，實現自己想要的功能；

另外，推薦下 Spring boot 的用戶權限管理系統開源項目：

https://gitee.com/yoodb/jing-xuan

redis分布式鎖的關鍵代碼:

/**  * @package: com.shuyu.blog.util  * @className: RedisUtil  * @description:  * @author: Shuyu.Wang 公眾號：Java精選，有驚喜！  * @since: 0.1  **/ @Component @Slf4j publicclass RedisUtil { privatestaticfinal Long SUCCESS = 1L; @Autowired private RedisTemplate redisTemplate; // =============================common============================ /**   * 獲取鎖   * @param lockKey   * @param value   * @param expireTime：單位-秒   * @return   */ public boolean getLock(String lockKey, Object value, int expireTime) { try {    log.info("添加分布式鎖key={},expireTime={}",lockKey,expireTime);    String script = "if redis.call('setNx',KEYS[1],ARGV[1]) then if redis.call('get',KEYS[1])==ARGV[1] then return redis.call('expire',KEYS[1],ARGV[2]) else return 0 end end";    RedisScript redisScript =  new DefaultRedisScript<>(script, String.class);    Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value, expireTime);    if (SUCCESS.equals(result)) {     returntrue;    }   } catch (Exception e) {    e.printStackTrace();   } returnfalse;  } /**   * 釋放鎖   * @param lockKey   * @param value   * @return   */ public boolean releaseLock(String lockKey, String value) {   String script = "if redis.call('get', KEYS[1]) == ARGV[1] then return redis.call('del', KEYS[1]) else return 0 end";   RedisScript redisScript =  new DefaultRedisScript<>(script, String.class);   Object result = redisTemplate.execute(redisScript, Collections.singletonList(lockKey), value); if (SUCCESS.equals(result)) {    returntrue;   } returnfalse;  } }

最后將上面自定義的攔截器通過registry.addInterceptor添加一下，就生效了；

@Configuration @Slf4j publicclass MyWebAppConfig extends WebMvcConfigurerAdapter {     @Bean IpUrlLimitInterceptor getIpUrlLimitInterceptor(){      returnnew IpUrlLimitInterceptor();  } @Override     public void addInterceptors(InterceptorRegistry registry) {   registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");         super.addInterceptors(registry);     } }

自己可以寫一個for循環來測試方面的功能，這里就不詳細介紹了。

作者：wang_shuyu

https://blog.csdn.net/wang_shuyu/article/details/102531940

公眾號“Java精選”所發表內容注明來源的，版權歸原出處所有（無法查證版權的或者未注明出處的均來自網絡，系轉載，轉載的目的在于傳遞更多信息，版權屬于原作者。如有侵權，請聯系，筆者會第一時間刪除處理！

最近有很多人問，有沒有讀者交流群！加入方式很簡單，公眾號Java精選，回復“加群”，即可入群！

文章有幫助的話，點在看，轉發吧！