SpringBoot中自定義注解實現控制器訪問次數限制實例。本站提示廣大學習愛好者:(SpringBoot中自定義注解實現控制器訪問次數限制實例)文章只能為提供參考,不一定能成為您想要的結果。以下是SpringBoot中自定義注解實現控制器訪問次數限制實例正文
今天給大家介紹一下SpringBoot中如何自定義注解實現控制器訪問次數限制。
在Web中最經常發生的就是利用惡性URL訪問刷爆服務器之類的攻擊,今天我就給大家介紹一下如何利用自定義注解實現這類攻擊的防御操作。
其實這類問題一般的解決思路就是:在控制器中加入自定義注解實現訪問次數限制的功能。
具體的實現過程看下面的例子:
步驟一:先定義一個注解類,下面看代碼事例:
package example.controller.limit;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import java.lang.annotation.*;
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented
//最高優先級
@Order(Ordered.HIGHEST_PRECEDENCE)
public @interface RequestLimit {
/**
*
* 允許訪問的次數,默認值MAX_VALUE
*/
int count() default Integer.MAX_VALUE;
/**
*
* 時間段,單位為毫秒,默認值一分鐘
*/
long time() default 60000;
}
步驟二:定義一個異常類,用來處理URL攻擊時產生的異常問題,下面看代碼事例:
package example.controller.exception;
public class RequestLimitException extends Exception {
private static final long serialVersionUID = 1364225358754654702L;
public RequestLimitException() {
super("HTTP請求超出設定的限制");
}
public RequestLimitException(String message) {
super(message);
}
}
步驟三:定義一個注解的具體實現類,下面看代碼事例:
package example.controller.limit;
import example.controller.exception.RequestLimitException;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;
import java.util.Timer;
import java.util.TimerTask;
import java.util.concurrent.TimeUnit;
@Aspect
@Component
public class RequestLimitContract {
private static final Logger logger = LoggerFactory.getLogger("RequestLimitLogger");
private Map<String, Integer> redisTemplate=new HashMap<String,Integer>();
@Before("within(@org.springframework.stereotype.Controller *) && @annotation(limit)")
public void requestLimit(final JoinPoint joinPoint, RequestLimit limit) throws RequestLimitException {
try {
Object[] args = joinPoint.getArgs();
HttpServletRequest request = null;
for (int i = 0; i < args.length; i++) {
if (args[i] instanceof HttpServletRequest) {
request = (HttpServletRequest) args[i];
break;
}
}
if (request == null) {
throw new RequestLimitException("方法中缺失HttpServletRequest參數");
}
String ip = request.getLocalAddr();
String url = request.getRequestURL().toString();
String key = "req_limit_".concat(url).concat(ip);
if(redisTemplate.get(key)==null || redisTemplate.get(key)==0){
redisTemplate.put(key,1);
}else{
redisTemplate.put(key,redisTemplate.get(key)+1);
}
int count = redisTemplate.get(key);
if (count > 0) {
Timer timer= new Timer();
TimerTask task = new TimerTask(){ //創建一個新的計時器任務。
@Override
public void run() {
redisTemplate.remove(key);
}
};
timer.schedule(task, limit.time());
//安排在指定延遲後執行指定的任務。task : 所要安排的任務。10000 : 執行任務前的延遲時間,單位是毫秒。
}
if (count > limit.count()) {
//logger.info("用戶IP[" + ip + "]訪問地址[" + url + "]超過了限定的次數[" + limit.count() + "]");
throw new RequestLimitException();
}
} catch (RequestLimitException e) {
throw e;
} catch (Exception e) {
logger.error("發生異常: ", e);
}
}
}
步驟四:實現一個控制類,並添加使用注解功能。下面看代碼事例:
package example.controller;
import example.controller.limit.RequestLimit;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
@Controller
public class URLController {
@RequestLimit(count=10,time=5000)
@RequestMapping("/urltest")
@ResponseBody
public String test(HttpServletRequest request, ModelMap modelMap) {
return "aaa";
}
}
其中count指的是規定時間內的訪問次數,time指的就是規定時間,單位為毫秒。
這樣就實現了在控制器這個層次上面的url攔截了。不過這裡有個問題,就是如果想在每一個URL頁面上面都進行這樣的攔截,這種方法明顯是不夠的。因為我們不可能在每個控制器上面都加上url攔截的注解,所以這種方法只適合在某些特定的URL攔截上面使用它們。
那如何實現過濾器級別上面的URL訪問攔截呢?這裡先給大家賣一個關子,我將會在下一節中給大家介紹如何利用過濾器實現URl訪問攔截,並且利用JPA實現ip黑名單的功能,加入IP黑名單後就不可以進行任何URL的訪問了。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持。
