IP防刷,也就是在短时间内有大量相同ip的请求,可能是恶意的,也可能是超出业务范围的。总之,我们需要杜绝短时间内大量请求的问题,怎么处理?
其实这个问题,真的是太常见和太简单了,但是真正来做的时候,可能就不一定很简单了哦。
我这里给一个解决方案,以供参考!
主要思路或者需要考虑的问题为:
1. 因为现在的服务器环境几乎都是分布式环境,所以,用本地计数的方式肯定是不行了,所以我们需要一个第三方的工具来辅助计数;
2. 可以选用数据库、缓存中间件、zk等组件来解决分布式计数问题;
3. 使用自增计数,尽量保持原子性,避免误差;
4. 统计周期为从当前倒推 interval 时间,还是直接以某个开始时间计数;
5. 在何处进行拦截? 每个方法开始前? 还是请求入口处?
实现代码示例如下:
import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Before; import org.springframework.web.context.request.RequestAttributes; import org.springframework.web.context.request.RequestContextHolder; import org.springframework.web.context.request.ServletRequestAttributes; import redis.clients.jedis.Jedis; import javax.annotation.Resource; import javax.servlet.http.HttpServletRequest; /** * IP 防刷工具类, 10分钟内只最多允许1000次用户操作 */ @Aspect public class IpFlushFirewall { @Resource private Jedis redisTemplate; /** * 最大ip限制次数 */ private static int maxLimitIpHit = 1000; /** * 检查时效,单位:秒 */ private static int checkLimitIpHitInterval = 600; // 自测试有效性 public static void main(String[] args) { IpFlushFirewall ipTest = new IpFlushFirewall(); // 测试时直接使用new Jedis(), 正式运行时使用 redis-data 组件配置即可 ipTest.redisTemplate = new Jedis("127.0.0.1", 6379); for (int i = 0; i < 10; i++) { System.out.println("new action: +" + i); ipTest.testLoginAction(new Object()); System.out.println("action: +" + i + ", passed..."); } } // 测试访问的方法 public Object testLoginAction(Object req) { // ip防刷 String reqIp = "127.0.0.1"; checkIpLimit(reqIp); // 用户信息校验 System.out.println("login success..."); // 返回用户信息 return null; } // 检测限制入口 public void checkIpLimit(String ip) { if(isIpLimited(ip)) { throw new RuntimeException("操作频繁,请稍后再试!"); } } // ip 防刷 / 使用切面进行拦截 @Before(value = "execution(public * com.*.*.*(..))") public void checkIpLimit() { RequestAttributes ra = RequestContextHolder.getRequestAttributes(); ServletRequestAttributes sra = (ServletRequestAttributes) ra; HttpServletRequest request = sra.getRequest(); String ip = getIp(request); if(isIpLimited(ip)) { throw new RuntimeException("操作频繁,请稍后再试!"); } } public static String getIp(HttpServletRequest request) { String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } // 多级代理问题 if(ip.contains(",")) { ip = ip.substring(0, ip.indexOf(',')).trim(); } return ip; } /** * 判断ip是否受限制, 非核心场景,对于非原子的更新计数问题不大,否则考虑使用分布式锁调用更新 */ private boolean isIpLimited(String reqIp) { String ipHitCache = getIpHitCacheKey(reqIp); // 先取旧数据作为本次判断,再记录本次访问 String hitsStr = redisTemplate.get(ipHitCache); recordNewIpRequest(reqIp); // 新周期内,首次访问 if(hitsStr == null) { return false; } // 之前有命中 // 总数未超限,直接通过 if(!isOverMaxLimit(Integer.valueOf(hitsStr) + 1)) { return false; } // 当前访问后超过限制后,再判断周期内的数据 Long retainIpHits = countEffectiveIntervalIpHit(reqIp); redisTemplate.set(ipHitCache, retainIpHits + ""); // 将有效计数更新回计数器,删除无效计数后,在限制范围内,则不限制操作 if(!isOverMaxLimit(retainIpHits.intValue())) { return false; } return true; } // 是否超过最大限制 private boolean isOverMaxLimit(Integer nowCount) { return nowCount > maxLimitIpHit; } // 每次访问必须记录 private void recordNewIpRequest(String reqIp) { if(redisTemplate.exists(getIpHitCacheKey(reqIp))) { // 自增访问量 redisTemplate.incr(getIpHitCacheKey(reqIp)); } else { redisTemplate.set(getIpHitCacheKey(reqIp), "1"); } redisTemplate.expire(getIpHitCacheKey(reqIp), checkLimitIpHitInterval); Long nowTime = System.currentTimeMillis() / 1000; // 使用 sorted set 保存记录时间,方便删除, zset 元素尽可能保持唯一,否则会导致统计有效时数据变少问题 redisTemplate.zadd(getIpHitStartTimeCacheKey(reqIp), nowTime , reqIp + "-" + System.nanoTime() + Math.random()); redisTemplate.expire(getIpHitStartTimeCacheKey(reqIp), checkLimitIpHitInterval); } /** * 统计计数周期内有效的的访问次数(删除无效统计) * * @param reqIp 请求ip * @return 有效计数 */ private Long countEffectiveIntervalIpHit(String reqIp) { // 删除统计周期外的计数 Long nowTime = System.currentTimeMillis() / 1000; redisTemplate.zremrangeByScore(getIpHitStartTimeCacheKey(reqIp), nowTime - checkLimitIpHitInterval, nowTime); return redisTemplate.zcard(getIpHitStartTimeCacheKey(reqIp)); } // ip 访问计数器缓存key private String getIpHitCacheKey(String reqIp) { return "secure.ip.limit." + reqIp; } // ip 访问开始时间缓存key private String getIpHitStartTimeCacheKey(String reqIp) { return "secure.ip.limit." + reqIp + ".starttime"; } }
如上解决思路为:
1. 使用 redis 做计数器工具,做到数据统一的同时,redis 的高性能特性也保证了整个应用性能;
2. 使用 redis 的 incr 做自增,使用一个 zset 来保存记录开始时间,做双重保险;
3. 在计数超过限制后,再做开始有效性的检测,保证准确的同时,避免了每次都手动检查有时间有效性的动作;
4. 正常的统计周期超时,借助redis自动淘汰机制清理,无需手动管理;
5. 使用切面的方式进行请求拦截,避免业务代码入侵;