4. 秒杀-防恶意用户
2018-10-03 本文已影响0人
xialedoucaicai
1.恶意行为
经过优化,系统的秒杀性能已经有了大幅提高,但系统的安全性还有待优化,需要增加一些手段防止恶意行为。
首先,在商品详情页面,使用F12,可以直接看到真实的秒杀地址。我可以直接使用工具来不断地发请求,这样等到秒杀真正开始的时候,我一定可以抢到订单,因为普通用户点击的速度,肯定不会比工具快。这就对普通用户很不公平了。
2.增加验证码
在点击秒杀时,不会直接请求真正的秒杀地址,而是请求验证码页面,只有输入正确的验证码后,才会发起真正的秒杀请求。
验证码使用了verify插件,也是从github上搜索到的一个插件。
为防止恶意用户提前请求验证码页面,在输入正确验证码后,就能窥探到真实秒杀地址,在获取验证码时后端也会校验该秒杀是否开始。这样只有秒杀开始了,才能拿到含有真正秒杀地址的页面,分析真正秒杀地址肯定比输验证码还要慢,尤其是对html js css进行加密/压缩之后,最大限度地保证了大家的公平。
/**
* 到达验证码页面
* @return
*/
@GetMapping("/verifyCode/{goodsId}")
public String verifyCode(@PathVariable("goodsId") int goodsId,Model model) {
//判断秒杀是否开始,因为该页面有真实的秒杀地址,所以秒杀未开始时,不能让客户端获得真实的秒杀地址
if(System.currentTimeMillis() < Constant.BARGAIN_DASH_START_TIME) {
model.addAttribute("errorMsg","秒杀还未开始");
return "error";
}else {
model.addAttribute("goodsId",goodsId);
return "verifyCode";
}
}
3.限流防刷
虽然我们通过验证码隐藏了真实的秒杀请求,但恶意用户可能会使用工具故意刷商品页面/验证码页面,消耗系统的处理能力。
我们可以自定义一个注解@AccessLimit,增加一个拦截器,对标注了该注解的方法进行拦截,利用redis的过期和自增操作,实现简单的限流功能。
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
if(handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
AccessLimit annotation = handlerMethod.getMethodAnnotation(AccessLimit.class);
if(annotation != null) {
int second = annotation.second();
int times = annotation.times();
//这里利用redis的过期时间+自增 来实现简单的限流判断
String key = ((User)request.getSession().getAttribute("user")).getId()+"_"+request.getRequestURI()+"_accessTimes";
Integer value = redisTemplate.opsForValue().get(key);
if(value == null) {//第一次访问 OR 过期了
redisTemplate.opsForValue().set(key, 1, second, TimeUnit.SECONDS);
}else if(value.intValue() < times) {//有效期内访问,且未超过限制
redisTemplate.opsForValue().increment(key, 1);
}else {//超过限制
request.setAttribute("errorMsg", "操作过于频繁,请稍后再试");
request.getRequestDispatcher("/error.html").forward(request, response);
return false;
}
}
}
return true;
}
附:所有代码在github上
