接口防刷

限制一台电脑一段时间内访问同一接口的次数

思路：
1：设计一个redis临时key， 有效时间是1分钟，1分钟内只允许10访问
key> url ： ip
value> 可访问的次数
2：设置拦截器，拦截需要防刷的接口url
3：拦截逻辑
3.1>拦截url，拼接key查询redis中是否存在
3.2>如果不存在setnx url:ip 10
3.3>如果存在derc url:ip
3.4>如果次数减到0，拦截返回：请勿频繁访问
3.5>其他情况直接放行。

拦截器

/*** 防刷拦截器*/
public class BrushProofInterceptor implements HandlerInterceptor {@Autowiredprivate ISecurityRedisService securityRedisService;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {if(!(handler instanceof HandlerMethod)){return  true;}//防刷验证String url = request.getRequestURI().substring(1);String ip = RequestUtil.getIPAddress();String key = RedisKeys.BRUSH_PROOF.join(url, ip);if(!securityRedisService.isAllowBrush(key)){response.setContentType("text/json;charset=UTF-8");response.getWriter().write(JSON.toJSONString(JsonResult.error(500, "请勿频繁访问","谢谢")));return false;}return true;}
}redis服务
@Service
public class SecurityRedisServiceImpl implements ISecurityRedisService {@Autowiredprivate StringRedisTemplate template;@Overridepublic boolean isAllowBrush(String key) {//如果有不做 任何操作，如果没有添加template.opsForValue().setIfAbsent(key, "10", RedisKeys.BRUSH_PROOF.getTime(), TimeUnit.SECONDS);Long decrement = template.opsForValue().decrement(key);return decrement >= 0;}
}拦截器配置@Beanpublic BrushProofInterceptor brushProofInterceptor(){return  new BrushProofInterceptor();}@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(checkLoginInterceptor()).addPathPatterns("/**");//防刷registry.addInterceptor(brushProofInterceptor()).addPathPatterns("/**");}

接口防篡改

防止软件抓包修改参数

签名机制
思路：
1：前端传参数时，对参数的名进行字典排序，然后按照参数名的属性对参数值进行有序拼接
比如：
参数列表： c=参数1， f=参数2， a=参数3， b=参数4
参数排名： a b c f
参数值拼接：a=参数3&数4& c=参数1& f=参数2
2：使用MD5对拼接参数值串进行加密得到参数签名sign_client
3：将所有参数与sign一同发送到后端
4：后端获取到所有参数， 按照同样的逻辑，MD5加密得到sign_server
参数列表： c=参数1， f=参数2， a=参数3， b=参数4 sign_client
参数排名： a b c f
参数值拼接：a=参数3&数4& c=参数1& f=参数2
5：对比sign_server 跟sign_client 2个签名是否一致， 一致表示参数没变篡改，否则提示参数被改，不合法。

页面改动
common.js

//数据防篡改
function getSignStr(param) {var sdic=Object.keys(param).sort();var signStr = "";for(var i in sdic){if(i == 0){signStr +=sdic[i]+"="+param[sdic[i]];}else{signStr +="&"+sdic[i]+"="+param[sdic[i]];}}console.log(hex_md5(signStr));return hex_md5(signStr).toUpperCase();
}
请求方法：ajaxRequest
param.sign = getSignStr(param);
操作有页面添加md5.js

后台：
签名拦截器

/*** 签名拦截(防篡改)*/
public class SignInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {if(!(handler instanceof HandlerMethod)){return  true;}//签名验证Map map = request.getParameterMap();Set keys = map.keySet();Map param = new HashMap<>();for (String s : map.keySet()) {if("sign".equalsIgnoreCase(s)){continue;}param.put(s, arrayToString(map.get(s)));}String signatures = Md5Utils.signatures(param);String sign = request.getParameter("sign");if(sign == null || !sign.equalsIgnoreCase(signatures)){response.setContentType("text/json;charset=UTF-8");response.getWriter().write(JSON.toJSONString(new JsonResult(501,"签名校验失败","不好意思咯")));return false;}return true;}private String arrayToString(String [] array){StringBuilder sb = new StringBuilder(10);for (String s : array) {sb.append(s);}return sb.toString();}
}
配置拦截器@Beanpublic SignInterceptor signInterceptor(){return  new SignInterceptor();}@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(checkLoginInterceptor()).addPathPatterns("/**");//防刷registry.addInterceptor(brushProofInterceptor()).addPathPatterns("/**");//签名InterceptorRegistration it = registry.addInterceptor(signInterceptor()).addPathPatterns("/**");}

接口时效性

签名机制+有效时间
思路：
1：前端传参数时，对参数的名进行字典排序，然后按照参数名的属性对参数值进行有序拼接
比如：
参数列表： c=参数1， f=参数2， a=参数3， b=参数4 timestamp=188888
参数排名： a b c f timestamp
参数值拼接：a=参数3&数4& c=参数1& f=参数2×tamp=188888
2：使用MD5对拼接参数值串进行加密得到参数签名sign_client
3：将所有参数与sign一同发送到后端
4：后端获取到所有参数， 按照同样的逻辑，MD5加密得到sign_server
参数列表： c=参数1， f=参数2， a=参数3， b=参数4 sign_client
参数排名： a b c f
参数值拼接：a=参数3&数4& c=参数1& f=参数2×tamp=188888
5：获取timestamp与当前时间对比是否在有效时间内， 比如1分钟， 在执行下一步， 不在，提示接口访问失效
6：对比sign_server 跟sign_client 2个签名是否一致， 一致表示参数没变篡改，否则提示参数被改，不合法。

接口加密

阿里云服务申请https加密证书
https://www.cnblogs.com/shibaolong/p/9837247.html
阿里SSL: https://www.aliyun.com/product/cas?userCode=sd4xtwwm