Spring Boot 防止接口被恶意刷新、暴力请求

​在实际项目使用中，必须要考虑服务的安全性，当服务部署到互联网以后，就要考虑服务被恶意请求和暴力攻击的情况，下面的教程，通过Spring Boot提供的HandlerInterceptor和Redis 针对 Url + ip在一定时间内访问的次数来将ip禁用，可以根据自己的业务需求进行相应的修改，以达到自己的目的。
首先创建一个自定义的拦截器类，也是最核心的代码。

1. /**
2. * @ProjectName: cdkj-framework
3. * @Package: com.cdkjframework.core.spring.filter
4. * @ClassName: FilterHandlerInterceptor
5. * @Description: 拦截过滤
6. * @Author: xiaLin
7. * @Date: 2022/6/22 13:36
8. * @Version: 1.0
9. */
10. public class FilterHandlerInterceptor implements HandlerInterceptor {
12.   /**
13.    * 日志
14.    */
15.   private LogUtils logUtils = LogUtils.getLogger(FilterHandlerInterceptor.class);
17.   /**
18.    * redis锁
19.    */
20.   private final RedisLettuceLock redisLettuceLock;
22.   /**
23.    * IP头部变量(可能通过Nginx代理后)
24.    */
25.   private static final String HEADER_IP = "X-Real-IP";
27.   /**
28.    * 锁IP请求URL地址KEY
29.    */
30.   private static final String LOCK_IP_URL_KEY = "lock_ip_";
32.   /**
33.    * IP请求URL地址时间
34.    */
35.   private static final String IP_URL_REQ_TIME = "ip_url_times_";
37.   /**
38.    * 极限时间
39.    */
40.   private static final long LIMIT_TIMES = 5;
42.   /**
43.    * IP锁定时间 秒
44.    */
45.   private static final int IP_LOCK_TIME = 60;
47.   /**
48.    * 构建函数
49.    */
50.   public FilterHandlerInterceptor(RedisLettuceLock redisLettuceLock) {
51.     this.redisLettuceLock = redisLettuceLock;
52.   }
54.   /**
55.    * 预处理
56.    *
57.    * @param request  请求
58.    * @param response 响应
59.    * @param o        参数
60.    * @return 返回结果
61.    * @throws Exception 异常信息
62.    */
63.   @Override
64.   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
65.     String ip = request.getHeader(HEADER_IP);
66.     if (StringUtils.isNullAndSpaceOrEmpty(ip)) {
67.       ip = request.getRemoteAddr();
68.     }
69.     logUtils.info("request 请求地址 Uri={}，ip={}", request.getRequestURI(), ip);
70.     if (ipIsLock(ip)) {
71.       logUtils.info("ip访问被禁止={}", ip);
72.       ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");
73.       returnJson(response, builder);
74.       return false;
75.     }
76.     if (!addRequest(ip, request.getRequestURI())) {
77.       ResponseBuilder builder = ResponseBuilder.failBuilder("ip访问被禁止");
78.       returnJson(response, builder);
79.       return false;
80.     }
81.     return true;
82.   }
84.   @Override
85.   public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
87.   }
89.   @Override
90.   public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
92.   }
94.   /**
95.    * IP 是否已锁
96.    *
97.    * @param ip IP 地址
98.    * @return 返回是否成功
99.    */
100.   private Boolean ipIsLock(String ip) {
101.     if (redisLettuceLock.lock(LOCK_IP_URL_KEY + ip)) {
102.       return true;
103.     }
104.     return false;
105.   }
107.   /**
108.    * 添加请求信息
109.    *
110.    * @param ip  IP 地址
111.    * @param uri 请求路径
112.    * @return 返回是否成功
113.    */
114.   private Boolean addRequest(String ip, String uri) {
115.     String key = IP_URL_REQ_TIME + ip + uri;
116.     if (RedisUtils.syncExists(key)) {
117.       long time = RedisUtils.syncIncr(key, IntegerConsts.ONE);
118.       if (time >= LIMIT_TIMES) {
119.         redisLettuceLock.lock(LOCK_IP_URL_KEY + ip, IP_LOCK_TIME, ip);
120.         return false;
121.       }
122.     } else {
123.       redisLettuceLock.lock(key, (long) IntegerConsts.ONE, IntegerConsts.ONE);
124.     }
125.     return true;
126.   }
128.   /**
129.    * 返回结果
130.    *
131.    * @param response 响应
132.    * @param builder  返回结果
133.    * @throws Exception 异常信息
134.    */
135.   private void returnJson(HttpServletResponse response, ResponseBuilder builder) throws Exception {
136.     ResponseUtils.out(response, builder);
137.   }
138. }

复制代码

　　最后将上面自定义的拦截器通过WebMvcConfigurer下的registry.addInterceptor添加一下，就生效了。

1. /**
2. * @ProjectName: cdkj-framework
3. * @Package: com.cdkjframework.core.spring.filter
4. * @ClassName: WebMvcFilterConfigurerAdapter
5. * @Description: java类作用描述
6. * @Author: xiaLin
7. * @Date: 2022/6/22 13:37
8. * @Version: 1.0
9. */
10. @RequiredArgsConstructor
11. public class WebMvcFilterConfigurerAdapter implements WebMvcConfigurer {
13.     /**
14.      * redis锁
15.      */
16.     private final RedisLettuceLock redisLettuceLock;
18.     /**
19.      * 过虑句柄拦截器
20.      *
21.      * @return 返回拦截器
22.      */
23.     @Bean
24.     private FilterHandlerInterceptor filterHandlerInterceptor() {
25.         return new FilterHandlerInterceptor(redisLettuceLock);
26.     }
28.     /**
29.      * 添加 拦截器
30.      *
31.      * @param registry 拦截器注册
32.      */
33.     @Override
34.     public void addInterceptors(InterceptorRegistry registry) {
35.         registry.addInterceptor(filterHandlerInterceptor()).addPathPatterns("/**");
36.     }
37. }

复制代码

　　自己可以写一个for循环来测试改功能，这里就不具体详细介绍了。
文章中的工具类可参考：https://gitee.com/cdkjframework/common/tree/1.0.2/

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！