Spring Boot 实现接口防刷的五种方案

088183

在开发 Web 应用时,接口防刷(防止恶意或高频请求)是一个常见的需求。以下是五种常见的实现方案,适用于 Spring Boot 项目:

图片[1]_Spring Boot 实现接口防刷的五种方案_知途无界

方案一:基于 IP 的请求限制

原理

通过记录客户端的 IP 地址,对同一 IP 的请求频率进行限制。

实现方式

  1. 使用 Guava 的 RateLimiter 或 Redis 计数器。
  2. 记录每个 IP 的请求次数,设置时间窗口(如 1 分钟内最多允许 100 次请求)。
  3. 如果超过限制,返回错误响应(如 HTTP 429 Too Many Requests)。

代码示例

@RestController
public class RateLimitController {
    private final Map<String, Long> ipRequestMap = new ConcurrentHashMap<>();
    private static final int MAX_REQUESTS = 100;
    private static final long TIME_WINDOW = 60 * 1000; // 1分钟
    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("X-Forwarded-For") String ip) {
        long currentTime = System.currentTimeMillis();
        ipRequestMap.putIfAbsent(ip, currentTime);
        Long firstRequestTime = ipRequestMap.get(ip);
        if (currentTime - firstRequestTime > TIME_WINDOW) {
            // 重置时间窗口
            ipRequestMap.put(ip, currentTime);
        } else if (ipRequestMap.values().stream().filter(time -> time >= firstRequestTime).count() > MAX_REQUESTS) {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }
        return ResponseEntity.ok("请求成功");
    }
}
@RestController
public class RateLimitController {

    private final Map<String, Long> ipRequestMap = new ConcurrentHashMap<>();
    private static final int MAX_REQUESTS = 100;
    private static final long TIME_WINDOW = 60 * 1000; // 1分钟

    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("X-Forwarded-For") String ip) {
        long currentTime = System.currentTimeMillis();
        ipRequestMap.putIfAbsent(ip, currentTime);

        Long firstRequestTime = ipRequestMap.get(ip);
        if (currentTime - firstRequestTime > TIME_WINDOW) {
            // 重置时间窗口
            ipRequestMap.put(ip, currentTime);
        } else if (ipRequestMap.values().stream().filter(time -> time >= firstRequestTime).count() > MAX_REQUESTS) {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }

        return ResponseEntity.ok("请求成功");
    }
}
@RestController
public class RateLimitController {

    private final Map<String, Long> ipRequestMap = new ConcurrentHashMap<>();
    private static final int MAX_REQUESTS = 100;
    private static final long TIME_WINDOW = 60 * 1000; // 1分钟

    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("X-Forwarded-For") String ip) {
        long currentTime = System.currentTimeMillis();
        ipRequestMap.putIfAbsent(ip, currentTime);

        Long firstRequestTime = ipRequestMap.get(ip);
        if (currentTime - firstRequestTime > TIME_WINDOW) {
            // 重置时间窗口
            ipRequestMap.put(ip, currentTime);
        } else if (ipRequestMap.values().stream().filter(time -> time >= firstRequestTime).count() > MAX_REQUESTS) {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }

        return ResponseEntity.ok("请求成功");
    }
}

优化建议

  • 使用 Redis 实现分布式请求计数。
  • 配合 Nginx 或网关层进行 IP 限制。

方案二:基于 Token 的限流

原理

为每个用户生成唯一的 Token,Token 附带时间戳和请求次数,服务器验证 Token 的有效性。

实现方式

  1. 用户登录后生成 Token,Token 中包含用户 ID 和请求计数。
  2. 每次请求时验证 Token,并更新计数。
  3. 如果计数超过限制,拒绝请求。

代码示例

@RestController
public class TokenLimitController {
    private final Map<String, Integer> tokenMap = new ConcurrentHashMap<>();
    @PostMapping("/login")
    public String login() {
        // 模拟生成 Token
        String token = UUID.randomUUID().toString();
        tokenMap.put(token, 0);
        return token;
    }
    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("Authorization") String token) {
        if (!tokenMap.containsKey(token)) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("无效的 Token");
        }
        int count = tokenMap.compute(token, (k, v) -> v == null ? 0 : v + 1);
        if (count > 10) { // 每 Token 限制 10 次请求
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }
        return ResponseEntity.ok("请求成功");
    }
}
@RestController
public class TokenLimitController {

    private final Map<String, Integer> tokenMap = new ConcurrentHashMap<>();

    @PostMapping("/login")
    public String login() {
        // 模拟生成 Token
        String token = UUID.randomUUID().toString();
        tokenMap.put(token, 0);
        return token;
    }

    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("Authorization") String token) {
        if (!tokenMap.containsKey(token)) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("无效的 Token");
        }

        int count = tokenMap.compute(token, (k, v) -> v == null ? 0 : v + 1);
        if (count > 10) { // 每 Token 限制 10 次请求
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }

        return ResponseEntity.ok("请求成功");
    }
}
@RestController
public class TokenLimitController {

    private final Map<String, Integer> tokenMap = new ConcurrentHashMap<>();

    @PostMapping("/login")
    public String login() {
        // 模拟生成 Token
        String token = UUID.randomUUID().toString();
        tokenMap.put(token, 0);
        return token;
    }

    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("Authorization") String token) {
        if (!tokenMap.containsKey(token)) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("无效的 Token");
        }

        int count = tokenMap.compute(token, (k, v) -> v == null ? 0 : v + 1);
        if (count > 10) { // 每 Token 限制 10 次请求
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }

        return ResponseEntity.ok("请求成功");
    }
}

优化建议

  • 使用 JWT 或 Redis 存储 Token。
  • 配合前端实现 Token 的自动刷新。

方案三:基于滑动窗口算法的限流

原理

滑动窗口算法通过记录每个请求的时间戳,动态计算时间窗口内的请求次数。

实现方式

  1. 使用 LinkedHashMap 或 Redis 的 Sorted Set 存储请求时间戳。
  2. 每次请求时移除窗口外的旧时间戳,计算剩余时间戳的数量。
  3. 如果数量超过限制,拒绝请求。

代码示例

@RestController
public class SlidingWindowController {
    private final Map<String, LinkedList<Long>> ipRequestMap = new ConcurrentHashMap<>();
    private static final int MAX_REQUESTS = 100;
    private static final long TIME_WINDOW = 60 * 1000; // 1分钟
    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("X-Forwarded-For") String ip) {
        long currentTime = System.currentTimeMillis();
        ipRequestMap.computeIfAbsent(ip, k -> new LinkedList<>()).add(currentTime);
        LinkedList<Long> requests = ipRequestMap.get(ip);
        while (!requests.isEmpty() && requests.peekFirst() < currentTime - TIME_WINDOW) {
            requests.pollFirst();
        }
        if (requests.size() > MAX_REQUESTS) {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }
        return ResponseEntity.ok("请求成功");
    }
}
@RestController
public class SlidingWindowController {

    private final Map<String, LinkedList<Long>> ipRequestMap = new ConcurrentHashMap<>();
    private static final int MAX_REQUESTS = 100;
    private static final long TIME_WINDOW = 60 * 1000; // 1分钟

    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("X-Forwarded-For") String ip) {
        long currentTime = System.currentTimeMillis();
        ipRequestMap.computeIfAbsent(ip, k -> new LinkedList<>()).add(currentTime);

        LinkedList<Long> requests = ipRequestMap.get(ip);
        while (!requests.isEmpty() && requests.peekFirst() < currentTime - TIME_WINDOW) {
            requests.pollFirst();
        }

        if (requests.size() > MAX_REQUESTS) {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }

        return ResponseEntity.ok("请求成功");
    }
}
@RestController
public class SlidingWindowController {

    private final Map<String, LinkedList<Long>> ipRequestMap = new ConcurrentHashMap<>();
    private static final int MAX_REQUESTS = 100;
    private static final long TIME_WINDOW = 60 * 1000; // 1分钟

    @GetMapping("/api/test")
    public ResponseEntity<String> testEndpoint(@RequestHeader("X-Forwarded-For") String ip) {
        long currentTime = System.currentTimeMillis();
        ipRequestMap.computeIfAbsent(ip, k -> new LinkedList<>()).add(currentTime);

        LinkedList<Long> requests = ipRequestMap.get(ip);
        while (!requests.isEmpty() && requests.peekFirst() < currentTime - TIME_WINDOW) {
            requests.pollFirst();
        }

        if (requests.size() > MAX_REQUESTS) {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁");
        }

        return ResponseEntity.ok("请求成功");
    }
}

优化建议

  • 使用 Redis 的 ZADD 和 ZREMRANGEBYSCORE 实现分布式滑动窗口。

方案四:使用网关层限流

原理

在 API 网关(如 Nginx、Spring Cloud Gateway、Kong)中配置限流规则,拦截恶意请求。

实现方式

  1. 配置 Nginx 的 limit_req 模块。
  2. 使用 Spring Cloud Gateway 的 RequestRateLimiter 过滤器。

Nginx 示例

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    server {
        location /api/ {
            limit_req zone=one burst=20 nodelay;
        }
    }
}
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

    server {
        location /api/ {
            limit_req zone=one burst=20 nodelay;
        }
    }
}
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

    server {
        location /api/ {
            limit_req zone=one burst=20 nodelay;
        }
    }
}

Spring Cloud Gateway 示例

spring:
  cloud:
    gateway:
      routes:
      - id: rate_limiter_route
        uri: http://example.org
        filters:
        - name: RequestRateLimiter
          args:
            redis-rate-limiter.replenishRate: 10
            redis-rate-limiter.burstCapacity: 20
        predicates:
        - Path=/api/**
spring:
  cloud:
    gateway:
      routes:
      - id: rate_limiter_route
        uri: http://example.org
        filters:
        - name: RequestRateLimiter
          args:
            redis-rate-limiter.replenishRate: 10
            redis-rate-limiter.burstCapacity: 20
        predicates:
        - Path=/api/**
spring:
  cloud:
    gateway:
      routes:
      - id: rate_limiter_route
        uri: http://example.org
        filters:
        - name: RequestRateLimiter
          args:
            redis-rate-limiter.replenishRate: 10
            redis-rate-limiter.burstCapacity: 20
        predicates:
        - Path=/api/**

方案五:验证码机制

原理

对于高风险接口(如登录、支付),要求用户输入验证码,防止自动化脚本刷接口。

实现方式

  1. 集成第三方验证码服务(如阿里云、腾讯云)。
  2. 在关键接口前增加验证码验证逻辑。

代码示例

@RestController
public class CaptchaController {
    @GetMapping("/api/captcha")
    public String generateCaptcha() {
        // 生成验证码并返回给前端
        return "模拟验证码";
    }
    @PostMapping("/api/sensitive")
    public ResponseEntity<String> sensitiveOperation(@RequestParam String captcha) {
        if (!"1234".equals(captcha)) { // 模拟验证码验证
            return ResponseEntity.status(HttpStatus.BAD_REQUEST).body("验证码错误");
        }
        return ResponseEntity.ok("操作成功");
    }
}
@RestController
public class CaptchaController {

    @GetMapping("/api/captcha")
    public String generateCaptcha() {
        // 生成验证码并返回给前端
        return "模拟验证码";
    }

    @PostMapping("/api/sensitive")
    public ResponseEntity<String> sensitiveOperation(@RequestParam String captcha) {
        if (!"1234".equals(captcha)) { // 模拟验证码验证
            return ResponseEntity.status(HttpStatus.BAD_REQUEST).body("验证码错误");
        }
        return ResponseEntity.ok("操作成功");
    }
}
@RestController
public class CaptchaController {

    @GetMapping("/api/captcha")
    public String generateCaptcha() {
        // 生成验证码并返回给前端
        return "模拟验证码";
    }

    @PostMapping("/api/sensitive")
    public ResponseEntity<String> sensitiveOperation(@RequestParam String captcha) {
        if (!"1234".equals(captcha)) { // 模拟验证码验证
            return ResponseEntity.status(HttpStatus.BAD_REQUEST).body("验证码错误");
        }
        return ResponseEntity.ok("操作成功");
    }
}

总结与选择

方案适用场景优点缺点
基于 IP 的请求限制简单接口防刷实现简单,无需用户登录无法区分正常用户和恶意用户
基于 Token 的限流用户登录后的接口精准限流,用户体验较好需要用户登录,复杂度较高
滑动窗口算法高并发场景限流精准,资源占用少实现复杂
网关层限流分布式系统性能高,集中管理需要额外部署网关
验证码机制高风险接口防止自动化脚本刷接口用户体验较差

推荐

  • 对于简单接口,优先使用 基于 IP 的请求限制
  • 对于用户登录后的接口,使用 基于 Token 的限流
  • 对于高并发场景,结合 滑动窗口算法 和 网关层限流
  • 对于高风险接口,增加 验证码机制

通过组合多种方案,可以更有效地防止接口被恶意刷取。

© 版权声明
文中内容均来源于公开资料,受限于信息的时效性和复杂性,可能存在误差或遗漏。我们已尽力确保内容的准确性,但对于因信息变更或错误导致的任何后果,本站不承担任何责任。如需引用本文内容,请注明出处并尊重原作者的版权。
THE END
教程
# Spring Boot
喜欢就点个赞,支持一下吧!
点赞83 分享
Never,never,never,never give up.
永远不要、不要、不要、不要放弃
无界猴的头像_知途无界
推荐文章
评论 抢沙发
头像
欢迎您留下评论!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片

    暂无评论内容

文章目录
默认头像

1Windows 11快速访问自定义指南:固定文件夹与调整设置

2解决UniApp微信小程序中video组件不显示与播放问题的指南

3为什么营业执照会显示经营异常?

4硬盘分区无法识别?全面指南助您高效恢复数据与预防未来问题

5PyTorch nn.Embedding()深度解析:嵌入层如何工作及其在自然语言处理中的应用

6华为研发三折叠屏手机的深层动因与市场展望

7免费与付费SSL证书:区别、申请流程及安全性对比

8C++中三种继承修饰符:public、protected、private的深入解析

9react中实现echarts图表自适应的方法

10Python操作Excel:如何灵活调整行高与列宽

1抖音快手火影忍者互动无人直播揭秘:首发蓝海赛道,日入5000+不是梦

2外贸高手养成计划:从0到1的系统方法论与核心技能掌握

3音乐视频赛道最新玩法揭秘:纯原创、不违规,多平台发布,剪辑技巧轻松掌握

4揭秘最新短剧暴力起号策略与万能去重技巧,打造高效变现之路

5AI跨越时空拥抱过去的视频玩法揭秘:新手如何月入3000+

6新能源锂电池创业全攻略:锂电池回收技术与财富增长之路

7二手车经营秘籍:掌握效率罗盘,轻松玩转二手车市场

8AI视频创作新纪元:小白秒变大师,原创视频轻松盈利

9揭秘Shopee爆款产品打造秘诀:从选品到精细化运营,助您成为下一位大卖!

10公众号+网页端知识付费系统搭建实战课:从0到1,详解20个实操步骤,轻松实现月入潜力

1AI5.0玩法:极速创造美女视频,引爆全平台流量与多元化变现

2最新视频搬运技巧:小白也能轻松上手,软件助力高效产出

3视频号全自动英文育儿书单号带货教程

4一键种草托管 单账号15分钟13元 10个账号一天130 绿色稳定 可无限推广

5AI热辣美女视频制作与流量变现项目详解

6AI掘金4.0玩法:视频号创作分成指南

7拼多多虚拟爆单打法2.0 每天10分钟月产5000+

8电影解说2024年全新玩法

9小红书小学教辅资料销售秘籍:轻松上手,长效盈利

10AI赋能热点视频创作:5分钟高效产出,日赚3000+的矩阵变现秘籍

1抖音直播“铁罩衫”起号技术高级课程

22024视频号训练营与视频号变现教程概述

3TikTok美区实战秘籍:三年经营精髓,从新手到专家全攻略

4AI指令公众号高阶课程内容概览

5拼多多营销精英特训:解锁24年爆破流实战秘籍

6小红书达人陪跑计划第四期课程大纲

7拼多多极限拉升盈利突破进阶课

80基础小红书博主IP训练营课程大纲

9元宝宠物:短视频带货实战宝典,从0到1的完整攻略

10拼多多运营秘籍:聪明卖家实战指南(无水印版)

Nginx反向代理导致502错误的常见原因与解决方案_知途无界
1003人已阅读
Nginx反向代理导致502错误的常见原因与解决方案
TOP1
OpenCV物体检测全攻略:C++实现Haar、HOG与深度学习的三种方法_知途无界
OpenCV物体检测全攻略:C++实现Haar、HOG与深度学习的三种方法
13天前995人已阅读
TOP2
Git 技巧:用交互式 Rebase 轻松合并多提交_知途无界
Git 技巧:用交互式 Rebase 轻松合并多提交
11天前956人已阅读
TOP3
中国投资者涌向“日本版鹤岗”:一栋别墅仅售三万二背后的市场现象_知途无界
中国投资者涌向“日本版鹤岗”:一栋别墅仅售三万二背后的市场现象
13天前956人已阅读
TOP4
Python脚本通过nohup运行时出现错误的排查与解决方法_知途无界
Python脚本通过nohup运行时出现错误的排查与解决方法
6天前951人已阅读
TOP5
李兆基将安葬于故乡广东顺德_知途无界
李兆基将安葬于故乡广东顺德
6天前948人已阅读
TOP6
名校密集扩招:一场影响深远的教育与社会的双重变革_知途无界
名校密集扩招:一场影响深远的教育与社会的双重变革
10天前934人已阅读
TOP7
Java JSqlParser解析,修改和生成SQL语句的实用技巧_知途无界
Java JSqlParser解析,修改和生成SQL语句的实用技巧
7天前927人已阅读
TOP8
网址 URL 大小写敏感性情况_知途无界
网址 URL 大小写敏感性情况
8天前915人已阅读
TOP9
关税大考下的东莞突围战:一座外贸大市的战略应对_知途无界
关税大考下的东莞突围战:一座外贸大市的战略应对
15小时前904人已阅读
TOP10
标签云
AI小红书抖音Python视频号MySQLJava短视频闲鱼WordPress快手副业Linux拼多多Nginx无人直播养老金引流信用卡亚马逊直播