溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天給大家介紹一下SpringBoot中如何自定義注解實現控制器訪問次數限制。
在Web中最經常發生的就是利用惡性URL訪問刷爆服務器之類的攻擊,今天我就給大家介紹一下如何利用自定義注解實現這類攻擊的防御操作。
其實這類問題一般的解決思路就是:在控制器中加入自定義注解實現訪問次數限制的功能。
具體的實現過程看下面的例子:
步驟一:先定義一個注解類,下面看代碼事例:
package example.controller.limit;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import java.lang.annotation.*;
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented
//最高優先級
@Order(Ordered.HIGHEST_PRECEDENCE)
public @interface RequestLimit {
/**
*
* 允許訪問的次數,默認值MAX_VALUE
*/
int count() default Integer.MAX_VALUE;
/**
*
* 時間段,單位為毫秒,默認值一分鐘
*/
long time() default 60000;
}
步驟二:定義一個異常類,用來處理URL攻擊時產生的異常問題,下面看代碼事例:
package example.controller.exception;
public class RequestLimitException extends Exception {
private static final long serialVersionUID = 1364225358754654702L;
public RequestLimitException() {
super("HTTP請求超出設定的限制");
}
public RequestLimitException(String message) {
super(message);
}
}
步驟三:定義一個注解的具體實現類,下面看代碼事例:
package example.controller.limit;
import example.controller.exception.RequestLimitException;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;
import java.util.Timer;
import java.util.TimerTask;
import java.util.concurrent.TimeUnit;
@Aspect
@Component
public class RequestLimitContract {
private static final Logger logger = LoggerFactory.getLogger("RequestLimitLogger");
private Map<String, Integer> redisTemplate=new HashMap<String,Integer>();
@Before("within(@org.springframework.stereotype.Controller *) && @annotation(limit)")
public void requestLimit(final JoinPoint joinPoint, RequestLimit limit) throws RequestLimitException {
try {
Object[] args = joinPoint.getArgs();
HttpServletRequest request = null;
for (int i = 0; i < args.length; i++) {
if (args[i] instanceof HttpServletRequest) {
request = (HttpServletRequest) args[i];
break;
}
}
if (request == null) {
throw new RequestLimitException("方法中缺失HttpServletRequest參數");
}
String ip = request.getLocalAddr();
String url = request.getRequestURL().toString();
String key = "req_limit_".concat(url).concat(ip);
if(redisTemplate.get(key)==null || redisTemplate.get(key)==0){
redisTemplate.put(key,1);
}else{
redisTemplate.put(key,redisTemplate.get(key)+1);
}
int count = redisTemplate.get(key);
if (count > 0) {
Timer timer= new Timer();
TimerTask task = new TimerTask(){ //創建一個新的計時器任務。
@Override
public void run() {
redisTemplate.remove(key);
}
};
timer.schedule(task, limit.time());
//安排在指定延遲后執行指定的任務。task : 所要安排的任務。10000 : 執行任務前的延遲時間,單位是毫秒。
}
if (count > limit.count()) {
//logger.info("用戶IP[" + ip + "]訪問地址[" + url + "]超過了限定的次數[" + limit.count() + "]");
throw new RequestLimitException();
}
} catch (RequestLimitException e) {
throw e;
} catch (Exception e) {
logger.error("發生異常: ", e);
}
}
}
步驟四:實現一個控制類,并添加使用注解功能。下面看代碼事例:
package example.controller;
import example.controller.limit.RequestLimit;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
@Controller
public class URLController {
@RequestLimit(count=10,time=5000)
@RequestMapping("/urltest")
@ResponseBody
public String test(HttpServletRequest request, ModelMap modelMap) {
return "aaa";
}
}
其中count指的是規定時間內的訪問次數,time指的就是規定時間,單位為毫秒。
這樣就實現了在控制器這個層次上面的url攔截了。不過這里有個問題,就是如果想在每一個URL頁面上面都進行這樣的攔截,這種方法明顯是不夠的。因為我們不可能在每個控制器上面都加上url攔截的注解,所以這種方法只適合在某些特定的URL攔截上面使用它們。
那如何實現過濾器級別上面的URL訪問攔截呢?這里先給大家賣一個關子,我將會在下一節中給大家介紹如何利用過濾器實現URl訪問攔截,并且利用JPA實現ip黑名單的功能,加入IP黑名單后就不可以進行任何URL的訪問了。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持億速云。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
