使用Spring Boot攔截器實(shí)現(xiàn)時(shí)間戳校驗(yàn)以防止接口被惡意刷

在開發(fā)Web應(yīng)用程序時(shí)，接口被惡意刷請(qǐng)求（例如DDoS攻擊或暴力破解）是一個(gè)常見的安全問題。為了提高接口的安全性，我們可以在服務(wù)端實(shí)現(xiàn)時(shí)間戳校驗(yàn)，以確保請(qǐng)求的合法性。本文將介紹如何在Spring Boot中使用攔截器來實(shí)現(xiàn)一個(gè)通用的時(shí)間戳驗(yàn)證機(jī)制。

一、為什么需要時(shí)間戳校驗(yàn)？

時(shí)間戳校驗(yàn)是一種簡單而有效的安全措施。通過在請(qǐng)求中攜帶一個(gè)帶有校驗(yàn)位的時(shí)間戳，服務(wù)端可以驗(yàn)證該請(qǐng)求是否是有效的。這樣可以防止請(qǐng)求被重放或者被批量自動(dòng)化刷請(qǐng)求，從而提升系統(tǒng)的安全性。

二、時(shí)間戳校驗(yàn)的設(shè)計(jì)思路

為了增加校驗(yàn)的難度，可以采用以下策略：

1. 混淆時(shí)間戳和隨機(jī)數(shù)：將當(dāng)前的時(shí)間戳和一個(gè)隨機(jī)數(shù)結(jié)合起來，然后進(jìn)行混淆處理（如位操作）。
2. 多重校驗(yàn)位：使用多位校驗(yàn)位而不是一位，這樣增加猜測(cè)的難度。
3. 非線性算法：使用非線性算法（如基于哈?；蚣用艿乃惴?#xff09;來生成校驗(yàn)位，增加逆向工程的難度。

三、時(shí)間戳校驗(yàn)的實(shí)現(xiàn)

1. 客戶端代碼

假設(shè)客戶端使用JavaScript來生成帶有校驗(yàn)位的時(shí)間戳：

function generateTimestampWithCheckDigits() {const timestamp = Date.now(); // 獲取當(dāng)前的13位毫秒級(jí)時(shí)間戳const randomNum = Math.floor(Math.random() * 1000); // 生成一個(gè)三位隨機(jī)數(shù)const mixedValue = mixTimestampAndRandom(timestamp, randomNum); // 混合時(shí)間戳和隨機(jī)數(shù)const checkDigits = calculateCheckDigits(mixedValue); // 計(jì)算多位校驗(yàn)位return `${timestamp}${randomNum}${checkDigits}`; // 最終的值由時(shí)間戳、隨機(jī)數(shù)和校驗(yàn)位組成
}function mixTimestampAndRandom(timestamp, randomNum) {// 將時(shí)間戳和隨機(jī)數(shù)進(jìn)行混淆操作，例如簡單的位操作return (BigInt(timestamp) ^ BigInt(randomNum)).toString();
}function calculateCheckDigits(mixedValue) {// 使用更復(fù)雜的算法計(jì)算多位校驗(yàn)位，例如哈希算法或非線性函數(shù)let sum = 0;for (let i = 0; i < mixedValue.length; i++) {sum += parseInt(mixedValue.charAt(i)) * (i + 1); // 簡單的非線性權(quán)重}return (sum % 97).toString().padStart(2, '0'); // 返回兩位校驗(yàn)位
}const timestampWithCheckDigits = generateTimestampWithCheckDigits();
console.log("Generated Timestamp with Check Digits: ", timestampWithCheckDigits);

客戶端生成一個(gè)當(dāng)前的13位毫秒級(jí)時(shí)間戳，并生成一個(gè)隨機(jī)數(shù)。然后，將兩者結(jié)合并混淆后，計(jì)算出校驗(yàn)位。最終，將時(shí)間戳、隨機(jī)數(shù)和校驗(yàn)位組合成一個(gè)字符串，發(fā)送到服務(wù)端。

2. 服務(wù)端代碼（Spring Boot）

在服務(wù)端，我們使用Spring Boot的攔截器來攔截所有HTTP請(qǐng)求，并對(duì)時(shí)間戳進(jìn)行校驗(yàn)。

TimestampInterceptor.java

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Component
public class TimestampInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String timestamp = request.getParameter("timestamp");if (timestamp == null || !isValidTimestamp(timestamp)) {response.setStatus(HttpServletResponse.SC_BAD_REQUEST);response.getWriter().write("Invalid timestamp");return false;}return true;}private boolean isValidTimestamp(String timestamp) {if (timestamp.length() != 18) { // 13位時(shí)間戳 + 3位隨機(jī)數(shù) + 2位校驗(yàn)位return false;}String originalTimestamp = timestamp.substring(0, 13);String randomNum = timestamp.substring(13, 16);String providedCheckDigits = timestamp.substring(16, 18);String mixedValue = mixTimestampAndRandom(originalTimestamp, randomNum);String calculatedCheckDigits = calculateCheckDigits(mixedValue);return providedCheckDigits.equals(calculatedCheckDigits);}private String mixTimestampAndRandom(String timestamp, String randomNum) {long timestampLong = Long.parseLong(timestamp);int randomNumInt = Integer.parseInt(randomNum);return String.valueOf(timestampLong ^ randomNumInt); // 與客戶端相同的混淆操作}private String calculateCheckDigits(String mixedValue) {int sum = 0;for (int i = 0; i < mixedValue.length(); i++) {sum += Character.getNumericValue(mixedValue.charAt(i)) * (i + 1);}return String.format("%02d", sum % 97); // 計(jì)算兩位校驗(yàn)位}
}

WebConfig.java

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate TimestampInterceptor timestampInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(timestampInterceptor).addPathPatterns("/**"); // 攔截所有路徑的請(qǐng)求}
}

在TimestampInterceptor中，我們重寫了preHandle方法，獲取請(qǐng)求中的時(shí)間戳參數(shù)，并調(diào)用isValidTimestamp方法來驗(yàn)證時(shí)間戳的合法性。如果時(shí)間戳不合法，則返回400錯(cuò)誤。

四、效果與優(yōu)化

通過以上實(shí)現(xiàn)，所有請(qǐng)求在到達(dá)Controller之前，都會(huì)先經(jīng)過時(shí)間戳校驗(yàn)。這種方式可以有效防止接口被惡意刷請(qǐng)求，保護(hù)系統(tǒng)的安全性。

進(jìn)一步優(yōu)化

• 時(shí)間窗口驗(yàn)證：可以進(jìn)一步增加時(shí)間戳的有效時(shí)間范圍，例如，時(shí)間戳必須在當(dāng)前時(shí)間的前后一分鐘之內(nèi)。
• 動(dòng)態(tài)秘鑰：可以引入動(dòng)態(tài)秘鑰來進(jìn)一步混淆校驗(yàn)算法，使得破解更加困難。
• 分布式緩存：使用分布式緩存（如Redis）記錄已接收的時(shí)間戳，防止重放攻擊。

五、總結(jié)

通過Spring Boot的攔截器，我們可以非常方便地在所有請(qǐng)求之前進(jìn)行時(shí)間戳校驗(yàn)。這種通用的解決方案不僅提高了系統(tǒng)的安全性，而且易于維護(hù)和擴(kuò)展。您可以根據(jù)實(shí)際需求對(duì)校驗(yàn)算法進(jìn)行調(diào)整和優(yōu)化，確保接口的安全性。

---

希望本文能對(duì)你在防止接口被惡意刷請(qǐng)求方面提供一些有用的思路和參考！