近日发现某些用户对一些商品进行多次下单,而且比较频繁,而且下单时间都在同一秒内,怀疑产生重复请求
用户在商品页面,多次点击下单按钮,后台怎么知道是用户对一个商品进行多次下单,还是人工误操作或者客户端异常进行重复请求下单了呢?
如果客户端重复的下单请求过多,或者后台处理过快,就会产生所谓的重放攻击。
如,客户端请求模拟
请求A 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求A 获得锁成功,开始处理
请求B 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求B 获得锁失败
请求C 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求C 获得锁失败
请求A 下单成功,释放锁
请求D 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求D 获得锁成功,开始处理
请求D 下单成功,释放锁
针对同一个随机数randomNum=abcd123居然下单成功2次,这就是重复攻击带来的危害
/** * 获得锁 * @param lockId * @return */ public boolean getLock(String lockId) { try { String KEY_LOCK_ID_="LOCK_ID_"; String KEY_LOCK_HIS_ID_="LOCK_HIS_ID_"; Boolean success = redisTemplate.opsForValue().setIfAbsent(KEY_LOCK_ID_+lockId, "lock"); //解决重放攻击 if(success != null && success){ if(hasKey(KEY_LOCK_HIS_ID_+lockId)){ success = false; logger.error("【REDIS操作】【获得锁失败】【已存在历史锁码】【怀疑重放攻击:"+lockId+"】"); }else{ success = true; set(KEY_LOCK_HIS_ID_+lockId,lockId,60*60*24); } } return success; } catch (Exception e) { logger.error("【REDIS操作】【获得锁错误】",e); return false; } } /** * 释放锁 * @param lockId */ public void releaseLock(String lockId) { try { String KEY_LOCK_ID_="LOCK_ID_"; redisTemplate.delete(KEY_LOCK_ID_ + lockId); } catch (Exception e) { logger.error("【REDIS操作】【释放锁错误】",e); } }
原文:https://www.cnblogs.com/Leo_wl/p/13365896.html