Привет, я брат Тиан

вчера,Интервью с другом,Вопрос от интервьюера：Что делать, если интерфейс запрошен злонамеренно?

Этот вопрос относительно открыт. Если он действительно неясен, вы можете представить, что бы вы сделали, если бы ваш интерфейс подвергся злонамеренной атаке, и просто четко изложите свои мысли (исходящее в том, что вы не можете говорить глупости, это должно быть разумно и разумно). логично).

В реальных проектах существует множество решений такого типа проблем. Вот вам 9 решений.

1. брандмауэр：Конфигурациябрандмауэрправило,Ограничить частоту доступа и исходный IP-адрес API-интерфейса.,Предотвратите большое количество недействительных запросов.
2. Проверочный код：нуждающийся в защитеинтерфейс Добавить Проверочный кодоверификация, которая требует от пользователей проведения Проверки перед доступом codeVerification, чтобы подтвердить, что он настоящий пользователь.
3. Ограничения по IP：Ограничить доAPIинтерфейсдоступ ограничен определеннымиIPобъем,Например, разрешите IP-доступ только из интрасети или определенных партнеров.
4. Ограничение частоты доступа к интерфейсу：Установить ограничения частоты доступа,Например, разрешено только определенное количество запросов в минуту/час/день.,При превышении лимита будет возвращено сообщение об ошибке или IP будет забанен.
5. Аутентификация и авторизация пользователя：Требовать от пользователей доступаAPIинтерфейс Аутентификация перед,И авторизоваться в соответствии с правами пользователя,Только авторизованным пользователям разрешен доступ к определенному интерфейсу.
6. Мониторинг журналов：мониторAPIинтерфейспосещатьбревно,Своевременно обнаруживайте аномальные запросы,Например, определенный IP-адрес часто запрашивает один и тот же интерфейс.,Своевременно принимайте соответствующие меры безопасности.
7. Безопасное шифрование：Зашифрованная передача конфиденциальных данных,Используйте протокол HTTPS для обеспечения безопасности передачи данных.
8. Использование API-шлюза：существоватьAPIинтерфейсвведенный междуAPIшлюз,Выполнение таких операций, как фильтрация, аутентификация и текущее ограничение запросов.,Защита внутреннего API-интерфейса.
9. ручное вмешательство：Регулярный осмотрAPIинтерфейспосещать Состояние,Быстрое обнаружение аномального поведения,руководитьручное вмешательствоиметь дело с。

Короче говоря, в случае злонамеренной очистки интерфейса безопасность интерфейса можно повысить за счет ограничения частоты доступа, добавления кодов проверки, ограничений IP, аутентификации и авторизации личности пользователя и т. д.

Этих 9 решений достаточно для интервьюеров, но многие люди все еще хотят увидеть, как их реализовать.

Вот три способа реализации антибрашинга:

• Ограничения по IP
• Мониторинг журналов
• Установить ограничения частоты доступа。

Ограничение IP

В проекте Spring Boot ограничения IP могут быть достигнуты с помощью перехватчиков или фильтров. Ниже приведены конкретные этапы реализации:

1. Создайте класс перехватчика или класс фильтра.,Реализуйте HandlerInterceptorинтерфейс или Filterинтерфейс.
2. В реализации класса перехватчика или класса фильтра получите запрошенный IP-адрес.
3. Конфигурация Список IP-адресов, которые необходимо ограничить,Эти IP-адреса можно сохранить в файле конфигурации.,Или определите список непосредственно в коде.
4. В реализации класса перехватчика или класса фильтра определите, находится ли запрошенный IP-адрес в списке ограниченных IP-адресов. Если он есть в списке, продолжайте обработку запроса, в противном случае верните сообщение об ошибке или отклоните запрос.
5. Весной В классе Конфигурация проекта Boot зарегистрируйте перехватчик или фильтр в приложении.

Вот пример кода, который использует перехватчик для реализации ограничений IP:

public class IPInterceptor implements HandlerInterceptor {
    private static final List<String> ALLOWED_IPS = Arrays.asList("127.0.0.1", "192.168.0.1");
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        
        if (ALLOWED_IPS.contains(ipAddress)) {
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            response.getWriter().write("Access denied");
            return false;
        }
        
        return true;
    }
}

Зарегистрируйте перехватчик в классе конфигурации проекта Spring Boot:

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new IPInterceptor());
    }
}

В приведенном выше примере,ALLOWED_IPSСписок содержит доступ, который не разрешенIPадрес,Если запрошенный IP-адрес есть в списке,затем вернись"Access denied"сообщение об ошибке,И установите код состояния ответа на403（Forbidden）。

Аналогичным образом вы также можете использовать фильтры для реализации ограничений IP. Фильтры реализуются аналогичным образом, за исключением того, что вам необходимо реализовать интерфейс Filter и переопределить метод doFilter.

Обратите внимание, что в приведенном выше примере представлен только простой метод ограничения IP-адресов. Если вам нужна более сложная стратегия ограничения, вы можете рассмотреть возможность использования сторонних библиотек или платформ, таких как Spring Security.

Примечание. Здесь мы вписали IP-адрес в Java-код. В реальных проектах мы можем настроить его в файле конфигурации или использовать таблицу для его хранения, а затем каждый раз кэшировать данные в таблице в Redis. полученный непосредственно из redis. Помещение его в redis может снизить нагрузку на базу данных и напомнить о производительности интерфейса AIP.

Кроме того, вышеуказанные IP-адреса ограничивают доступ к тем IP-адресам, к которым нет доступа. Если наша система используется определенными пользователями, мы можем настроить этот список IP-адресов как доступные IP-адреса. Когда IP-адреса в списке не-IP доступны только мы можем. ограничьте это.

Мониторинг журналов

Чтобы внедрить Мониторинг журналов в API-интерфейс, вы можете выполнить следующие шаги:

1. Внедрить систему ведения журналов：Весной В проекте загрузки,Обычно используйте slf4j в качестве бревно-фреймворка.,Вы можете добавить соответствующие зависимости в файл pom.xml проекта.
2. Настроить вывод журнала：существоватьпроект Конфигурациядокумент（нравитьсяapplication.propertiesилиapplication.yml）середина,Настроить вывод Формат, уровень и другая сопутствующая информация журнала.
3. Написание перехватчика запросов：проходить Написание перехватчика запросов,Кратковременно записывайте соответствующую информацию при вызове API-интерфейса. Вы можете получить запрошенный URL, параметры, метод запроса и другую информацию в перехватчике.,И запишите это бревно.
4. Ведение журнала с использованием АОП：МожетпроходитьиспользоватьSpring AOP,Бревно ведение журнала при вызове APIинтерфейса. В аспекте АОП,Вы можете определить предварительные уведомления, пост-уведомления и т. д.,Бревно записи делаются в соответствующих уведомлениях по мере необходимости.
5. Настроить хранилище журналов：может бытьбревно Хранить в базе данных、файлы или другие носители информации. Вы можете использовать связанные структуры хранения данных (например, logback).、log4j и т. д.) для конфигурации.
6. Обработка исключений：существоватьAPIинтерфейс В случае злонамеренной чистки зубов,Может быть сгенерировано большое количество аномальных запросов. Это можно сделать, прописав глобальную Обработку исключений.,Единая обработка аномальных запросов,И записывайте соответствующую информацию.
7. Мониторинг и анализ：Можно использоватьбревно Инструменты анализа（нравитьсяELK、Splunkждать）вернобревноруководитьв реальном временимонитори анализ,так что Своевременно обнаруживайте аномальные запросы。

Следует отметить, что,При внедрении журналов мониторинга,Необходимо соблюдать соответствующие законы и правила.,Обеспечьте личную конфиденциальность и безопасность данных.

Установить ограничения частоты доступа

В Spring Boot вы можете использовать перехватчики или фильтры для реализации ограничений частоты доступа к интерфейсам API. Эти два метода реализации представлены ниже.

1. Используйте перехватчики для реализации ограничений частоты доступа.：

Сначала создайте класс-перехватчик, реализуйте интерфейс HandlerInterceptor и переопределите метод preHandle. В методе preHandle вы можете ограничить запрос.

public class RateLimitInterceptor implements HandlerInterceptor {

    private final RateLimiter rateLimiter;

    public RateLimitInterceptor(RateLimiter rateLimiter) {
        this.rateLimiter = rateLimiter;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // Получить IP-адрес запроса
        String ipAddress = request.getRemoteAddr();
        
        // Проверьте, превышает ли IP-адрес лимит
        if (!rateLimiter.tryAcquire(ipAddress)) {
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("Too many requests");
            return false;
        }
        
        return true;
    }
}

Затем зарегистрируйте перехватчик в классе конфигурации:

@Configuration
public class WebConfig implements WebMvcConfigurer {

    private final RateLimiter rateLimiter;

    public WebConfig(RateLimiter rateLimiter) {
        this.rateLimiter = rateLimiter;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new RateLimitInterceptor(rateLimiter));
    }
}

1. Используйте фильтры, чтобы ограничить частоту доступа：

Сначала создайте класс фильтра, реализуйте интерфейс javax.servlet.Filter и переопределите метод doFilter. В методе doFilter вы можете ограничить запрос.

public class RateLimitFilter implements Filter {

    private final RateLimiter rateLimiter;

    public RateLimitFilter(RateLimiter rateLimiter) {
        this.rateLimiter = rateLimiter;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        // Получить IP-адрес запроса
        String ipAddress = httpRequest.getRemoteAddr();
        
        // Проверьте, превышает ли IP-адрес лимит
        if (!rateLimiter.tryAcquire(ipAddress)) {
            httpResponse.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            httpResponse.getWriter().write("Too many requests");
            return;
        }

        chain.doFilter(request, response);
    }
}

Затем зарегистрируйте фильтр в классе конфигурации:

@Configuration
public class WebConfig {

    private final RateLimiter rateLimiter;

    public WebConfig(RateLimiter rateLimiter) {
        this.rateLimiter = rateLimiter;
    }

    @Bean
    public FilterRegistrationBean<RateLimitFilter> rateLimitFilter() {
        FilterRegistrationBean<RateLimitFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new RateLimitFilter(rateLimiter));
        registrationBean.addUrlPatterns("/api/*"); // Установить отфильтрованный URL-путь
        return registrationBean;
    }
}

В приведенном выше коде RateLimiter представляет собой собственный ограничитель тока. Вы можете выбрать подходящий метод реализации в соответствии с конкретными потребностями, например, использовать RaceLimiter Guava или использовать счетчик. Вы также можете использовать Redis для реализации этой технической функции.

Следует отметить, что,Приведенный выше код реализует только базовые ограничения частоты доступа.,На случай злонамеренной чистки интерфейса,Безопасность также может быть дополнительно повышена,примернравитьсяиспользоватьАлгоритм сегмента токенов、Постоянное хранение IP-адресовждать。

Хорошо, выше приведены некоторые способы ограничения вредоносных запросов на интерфейсы, которыми я поделюсь с вами сегодня.

Я все прочитала, поставьте палец вверх, Спасибо♪(･ω･)ﾉ

Рекомендации по статьям

ThreadLocal Принципы и проблемы, все в одном месте!

Журнал обновлений планеты【20231128】

Как программисты систематизируют знания?

Проект «Интернет вещей»: практика проекта «Зарядная куча»~

Полное интервью, брат Тиан защитит вас!