使用Spring Boot攔截器實現(xiàn)時間戳校驗以防止接口被惡意刷

在開發(fā)Web應(yīng)用程序時，接口被惡意刷請求（例如DDoS攻擊或暴力破解）是一個常見的安全問題。為了提高接口的安全性，我們可以在服務(wù)端實現(xiàn)時間戳校驗，以確保請求的合法性。本文將介紹如何在Spring Boot中使用攔截器來實現(xiàn)一個通用的時間戳驗證機(jī)制。

一、為什么需要時間戳校驗？

時間戳校驗是一種簡單而有效的安全措施。通過在請求中攜帶一個帶有校驗位的時間戳，服務(wù)端可以驗證該請求是否是有效的。這樣可以防止請求被重放或者被批量自動化刷請求，從而提升系統(tǒng)的安全性。

二、時間戳校驗的設(shè)計思路

為了增加校驗的難度，可以采用以下策略：

1. 混淆時間戳和隨機(jī)數(shù)：將當(dāng)前的時間戳和一個隨機(jī)數(shù)結(jié)合起來，然后進(jìn)行混淆處理（如位操作）。
2. 多重校驗位：使用多位校驗位而不是一位，這樣增加猜測的難度。
3. 非線性算法：使用非線性算法（如基于哈?；蚣用艿乃惴?#xff09;來生成校驗位，增加逆向工程的難度。

三、時間戳校驗的實現(xiàn)

1. 客戶端代碼

假設(shè)客戶端使用JavaScript來生成帶有校驗位的時間戳：

function generateTimestampWithCheckDigits() {const timestamp = Date.now(); // 獲取當(dāng)前的13位毫秒級時間戳const randomNum = Math.floor(Math.random() * 1000); // 生成一個三位隨機(jī)數(shù)const mixedValue = mixTimestampAndRandom(timestamp, randomNum); // 混合時間戳和隨機(jī)數(shù)const checkDigits = calculateCheckDigits(mixedValue); // 計算多位校驗位return `${timestamp}${randomNum}${checkDigits}`; // 最終的值由時間戳、隨機(jī)數(shù)和校驗位組成
}function mixTimestampAndRandom(timestamp, randomNum) {// 將時間戳和隨機(jī)數(shù)進(jìn)行混淆操作，例如簡單的位操作return (BigInt(timestamp) ^ BigInt(randomNum)).toString();
}function calculateCheckDigits(mixedValue) {// 使用更復(fù)雜的算法計算多位校驗位，例如哈希算法或非線性函數(shù)let sum = 0;for (let i = 0; i < mixedValue.length; i++) {sum += parseInt(mixedValue.charAt(i)) * (i + 1); // 簡單的非線性權(quán)重}return (sum % 97).toString().padStart(2, '0'); // 返回兩位校驗位
}const timestampWithCheckDigits = generateTimestampWithCheckDigits();
console.log("Generated Timestamp with Check Digits: ", timestampWithCheckDigits);

客戶端生成一個當(dāng)前的13位毫秒級時間戳，并生成一個隨機(jī)數(shù)。然后，將兩者結(jié)合并混淆后，計算出校驗位。最終，將時間戳、隨機(jī)數(shù)和校驗位組合成一個字符串，發(fā)送到服務(wù)端。

2. 服務(wù)端代碼（Spring Boot）

在服務(wù)端，我們使用Spring Boot的攔截器來攔截所有HTTP請求，并對時間戳進(jìn)行校驗。

TimestampInterceptor.java

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Component
public class TimestampInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String timestamp = request.getParameter("timestamp");if (timestamp == null || !isValidTimestamp(timestamp)) {response.setStatus(HttpServletResponse.SC_BAD_REQUEST);response.getWriter().write("Invalid timestamp");return false;}return true;}private boolean isValidTimestamp(String timestamp) {if (timestamp.length() != 18) { // 13位時間戳 + 3位隨機(jī)數(shù) + 2位校驗位return false;}String originalTimestamp = timestamp.substring(0, 13);String randomNum = timestamp.substring(13, 16);String providedCheckDigits = timestamp.substring(16, 18);String mixedValue = mixTimestampAndRandom(originalTimestamp, randomNum);String calculatedCheckDigits = calculateCheckDigits(mixedValue);return providedCheckDigits.equals(calculatedCheckDigits);}private String mixTimestampAndRandom(String timestamp, String randomNum) {long timestampLong = Long.parseLong(timestamp);int randomNumInt = Integer.parseInt(randomNum);return String.valueOf(timestampLong ^ randomNumInt); // 與客戶端相同的混淆操作}private String calculateCheckDigits(String mixedValue) {int sum = 0;for (int i = 0; i < mixedValue.length(); i++) {sum += Character.getNumericValue(mixedValue.charAt(i)) * (i + 1);}return String.format("%02d", sum % 97); // 計算兩位校驗位}
}

WebConfig.java

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate TimestampInterceptor timestampInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(timestampInterceptor).addPathPatterns("/**"); // 攔截所有路徑的請求}
}

在TimestampInterceptor中，我們重寫了preHandle方法，獲取請求中的時間戳參數(shù)，并調(diào)用isValidTimestamp方法來驗證時間戳的合法性。如果時間戳不合法，則返回400錯誤。

四、效果與優(yōu)化

通過以上實現(xiàn)，所有請求在到達(dá)Controller之前，都會先經(jīng)過時間戳校驗。這種方式可以有效防止接口被惡意刷請求，保護(hù)系統(tǒng)的安全性。

進(jìn)一步優(yōu)化

• 時間窗口驗證：可以進(jìn)一步增加時間戳的有效時間范圍，例如，時間戳必須在當(dāng)前時間的前后一分鐘之內(nèi)。
• 動態(tài)秘鑰：可以引入動態(tài)秘鑰來進(jìn)一步混淆校驗算法，使得破解更加困難。
• 分布式緩存：使用分布式緩存（如Redis）記錄已接收的時間戳，防止重放攻擊。

五、總結(jié)

通過Spring Boot的攔截器，我們可以非常方便地在所有請求之前進(jìn)行時間戳校驗。這種通用的解決方案不僅提高了系統(tǒng)的安全性，而且易于維護(hù)和擴(kuò)展。您可以根據(jù)實際需求對校驗算法進(jìn)行調(diào)整和優(yōu)化，確保接口的安全性。

---

希望本文能對你在防止接口被惡意刷請求方面提供一些有用的思路和參考！