今天給大家介紹一下SpringBoot中如何自定義注解實(shí)現(xiàn)控制器訪問(wèn)次數(shù)限制��。
創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供雙陽(yáng)企業(yè)網(wǎng)站建設(shè),專(zhuān)注與成都網(wǎng)站設(shè)計(jì)�����、成都網(wǎng)站制作�、H5頁(yè)面制作����、小程序制作等業(yè)務(wù)�����。10年已為雙陽(yáng)眾多企業(yè)����、政府機(jī)構(gòu)等服務(wù)�����。創(chuàng)新互聯(lián)專(zhuān)業(yè)的建站公司優(yōu)惠進(jìn)行中��。
在Web中最經(jīng)常發(fā)生的就是利用惡性URL訪問(wèn)刷爆服務(wù)器之類(lèi)的攻擊�����,今天我就給大家介紹一下如何利用自定義注解實(shí)現(xiàn)這類(lèi)攻擊的防御操作����。
其實(shí)這類(lèi)問(wèn)題一般的解決思路就是:在控制器中加入自定義注解實(shí)現(xiàn)訪問(wèn)次數(shù)限制的功能。
具體的實(shí)現(xiàn)過(guò)程看下面的例子:
步驟一:先定義一個(gè)注解類(lèi)�����,下面看代碼事例:
package example.controller.limit;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import java.lang.annotation.*;
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented
//最高優(yōu)先級(jí)
@Order(Ordered.HIGHEST_PRECEDENCE)
public @interface RequestLimit {
/**
*
* 允許訪問(wèn)的次數(shù)��,默認(rèn)值MAX_VALUE
*/
int count() default Integer.MAX_VALUE;
/**
*
* 時(shí)間段�,單位為毫秒,默認(rèn)值一分鐘
*/
long time() default 60000;
}
步驟二:定義一個(gè)異常類(lèi)�,用來(lái)處理URL攻擊時(shí)產(chǎn)生的異常問(wèn)題,下面看代碼事例:
package example.controller.exception;
public class RequestLimitException extends Exception {
private static final long serialVersionUID = 1364225358754654702L;
public RequestLimitException() {
super("HTTP請(qǐng)求超出設(shè)定的限制");
}
public RequestLimitException(String message) {
super(message);
}
} 步驟三:定義一個(gè)注解的具體實(shí)現(xiàn)類(lèi)���,下面看代碼事例:
package example.controller.limit;
import example.controller.exception.RequestLimitException;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;
import java.util.Timer;
import java.util.TimerTask;
import java.util.concurrent.TimeUnit;
@Aspect
@Component
public class RequestLimitContract {
private static final Logger logger = LoggerFactory.getLogger("RequestLimitLogger");
private Map redisTemplate=new HashMap();
@Before("within(@org.springframework.stereotype.Controller *) && @annotation(limit)")
public void requestLimit(final JoinPoint joinPoint, RequestLimit limit) throws RequestLimitException {
try {
Object[] args = joinPoint.getArgs();
HttpServletRequest request = null;
for (int i = 0; i < args.length; i++) {
if (args[i] instanceof HttpServletRequest) {
request = (HttpServletRequest) args[i];
break;
}
}
if (request == null) {
throw new RequestLimitException("方法中缺失HttpServletRequest參數(shù)");
}
String ip = request.getLocalAddr();
String url = request.getRequestURL().toString();
String key = "req_limit_".concat(url).concat(ip);
if(redisTemplate.get(key)==null || redisTemplate.get(key)==0){
redisTemplate.put(key,1);
}else{
redisTemplate.put(key,redisTemplate.get(key)+1);
}
int count = redisTemplate.get(key);
if (count > 0) {
Timer timer= new Timer();
TimerTask task = new TimerTask(){ //創(chuàng)建一個(gè)新的計(jì)時(shí)器任務(wù)�����。
@Override
public void run() {
redisTemplate.remove(key);
}
};
timer.schedule(task, limit.time());
//安排在指定延遲后執(zhí)行指定的任務(wù)���。task : 所要安排的任務(wù)。10000 : 執(zhí)行任務(wù)前的延遲時(shí)間�����,單位是毫秒�����。
}
if (count > limit.count()) {
//logger.info("用戶(hù)IP[" + ip + "]訪問(wèn)地址[" + url + "]超過(guò)了限定的次數(shù)[" + limit.count() + "]");
throw new RequestLimitException();
}
} catch (RequestLimitException e) {
throw e;
} catch (Exception e) {
logger.error("發(fā)生異常: ", e);
}
}
}
步驟四:實(shí)現(xiàn)一個(gè)控制類(lèi)���,并添加使用注解功能����。下面看代碼事例:
package example.controller;
import example.controller.limit.RequestLimit;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
@Controller
public class URLController {
@RequestLimit(count=10,time=5000)
@RequestMapping("/urltest")
@ResponseBody
public String test(HttpServletRequest request, ModelMap modelMap) {
return "aaa";
}
} 其中count指的是規(guī)定時(shí)間內(nèi)的訪問(wèn)次數(shù),time指的就是規(guī)定時(shí)間���,單位為毫秒���。
這樣就實(shí)現(xiàn)了在控制器這個(gè)層次上面的url攔截了。不過(guò)這里有個(gè)問(wèn)題�����,就是如果想在每一個(gè)URL頁(yè)面上面都進(jìn)行這樣的攔截��,這種方法明顯是不夠的��。因?yàn)槲覀儾豢赡茉诿總€(gè)控制器上面都加上url攔截的注解����,所以這種方法只適合在某些特定的URL攔截上面使用它們。
那如何實(shí)現(xiàn)過(guò)濾器級(jí)別上面的URL訪問(wèn)攔截呢��?這里先給大家賣(mài)一個(gè)關(guān)子��,我將會(huì)在下一節(jié)中給大家介紹如何利用過(guò)濾器實(shí)現(xiàn)URl訪問(wèn)攔截�����,并且利用JPA實(shí)現(xiàn)ip黑名單的功能���,加入IP黑名單后就不可以進(jìn)行任何URL的訪問(wèn)了��。
以上就是本文的全部?jī)?nèi)容���,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持創(chuàng)新互聯(lián)���。
分享名稱(chēng):SpringBoot中自定義注解實(shí)現(xiàn)控制器訪問(wèn)次數(shù)限制實(shí)例
URL分享:
http://weahome.cn/article/ppohjp.html
重慶分公司
重慶分公司
