防止API请求重复攻击

原创

已于 2024-07-10 19:26:31 修改 · 1.7k 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #后端 #java #python #kotlin #网络安全 #网络

于 2024-07-10 19:13:53 首次发布

在 API 设计中，防止请求重复攻击是确保系统安全性和稳定性的关键部分。以下是一些有效的技术和策略来防止 API 请求的重复攻击。

1. 使用唯一的请求 ID（去重ID）

每次请求时，客户端生成一个唯一的请求 ID，并将其作为请求的一部分发送到服务器。服务器可以检查这个 ID 是否已经处理过。

val processedRequests = mutableSetOf<String>()

fun handleRequest(request: ApiRequest) {
if (processedRequests.contains(request.requestId)) {
return
}
processedRequests.add(request.requestId)
}

优点：

简单有效。
请求 ID 可以是 UUID、时间戳+随机数等。

缺点：

需要在服务器端存储请求 ID，可能增加存储开销。

适用场景

需要确保每个请求仅处理一次，无论请求是否被重复发送。
适用于操作需要强一致性，如金融交易或订单创建。

2. 使用幂等性键（Idempotency Key）

类似于请求 ID，幂等性键用于确保即使请求被重复发送。

val idempotencyCache = mutableMapOf<String, Boolean>()

fun handleRequest(request: ApiRequest) {
if (idempotencyCache.contains(request.idempotencyKey)) {
return
}
idempotencyCache[request.idempotencyKey] = true
}

优点：

高效简单：在每个请求中包含唯一标识符，服务器只需检查是否已处理过该请求。
易于实现：适用于各种应用场景。

缺点：

需要管理幂等性键的生命周期和存储。

适用场景

需要确保每个请求仅处理一次，无论请求是否

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

时空掠影

关注关注

29
点赞
踩
29

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

限制 PHP 应用程序多次发送相同请求的方法

PeGroovy的博客

10-03

596

然后，在每次请求中，我们都需要验证请求中的令牌是否与会话中存储的令牌匹配。否则，请求可能是重复的或恶意的，可以拒绝处理。会话机制通过在会话中存储标志来判断请求是否已经发送过，而请求令牌则使用唯一的令牌来验证请求的合法性。在每个请求的处理过程中，可以检查该标志是否存在，如果存在则表示该请求已经被发送过，可以采取相应的处理措施（例如返回错误信息）。无论选择哪种方法，都需要在每个请求的起始处进行相应的处理，以确保请求的合法性。然后，在每个请求中，我们通过比较请求中的令牌和会话中存储的令牌来验证请求的合法性。

优雅的避免接口重复请求

wjianwei666的专栏

06-24

191

/ 设置标志位为true，表示有请求在处理中 // 发起异步请求 fetch('/api/data') .then(response => { // 处理响应数据 }) .catch(error => { // 处理错误 }) .finally(() => { isRequesting = false;在Web开发中，接口重复请求是一个常见的问题，这不仅浪费了服务器资源，还可能导致数据的不一致。多个并发请求：如果有多个不同类型的请求需要同时处理，可以为每种请求类型设置独立的标志位。

参与评论您还未登录，请先登录后发表或查看评论

前端接口防止重复请求实现方案

程序员成长指北

03-09

303

大厂技术高级前端Node进阶点击上方程序员成长指北，关注公众号回复1，加入高级Node交流群前言前段时间老板心血来潮，要我们前端组对整个的项目都做一下接口防止重复请求的处理（似乎是有用户通过一些快速点击薅到了一些优惠券啥的）。。。听到这个需求，第一反应就是，防止薅羊毛最保险的方案不还是在服务端加限制吗？前端加限制能够拦截的毕竟有限。可老板就是执意要前端搞一下子，行吧，搞就搞吧，you ...

自定义注解解决API接口幂等设计防止表单重复提交（生成token存放到redis中）

07-28

自定义封装注解类，（生成token存放到redis中）通过注解的方式解决API接口幂等设计防止表单重复提交

如何做一个防重设计

kshzhaohui的专栏

12-09

1490

前言在业务设计中防重设计是一个关键点，以接口设计为例，防重就是防止接口被多次调用而产生脏数据，比如支付订单出现重复支付，所以说防重至关重要，在如何防重之前我们首先看一下是如何出现重复请求的。何时出现多次调用多次调用接口的出现有主观原因比如：人为的重复请求攻击，用户的误操作等；也有客观原因比如：为了健壮性进行超时重试；重复请求攻击对于这种恶意攻击，其实已经属于安全范畴了，我们可以通过黑名单+限流来处理，下一步再考虑防重处理；用户的误操作比如用户在界面点击提交按钮，因为手误出现多次点击提交

防止重放攻击的实现与保障应用安全

UgzWeb的博客

09-27

627

在实际应用中，我们应根据具体的需求和安全要求选择合适的方法，并结合其他安全措施来保护应用程序的安全性。使用挑战-响应机制：在通信过程中，发送方可以向接收方发送一个挑战，要求接收方提供一个特定的响应。使用时间戳或随机数：在通信过程中，发送方可以为每个请求生成一个唯一的时间戳或随机数，并将其与请求一起发送给接收方。接收方在接收到请求后，可以验证时间戳或随机数的合法性，如果时间戳过期或随机数已被使用，则拒绝该请求。函数用于验证令牌的有效性，它比较接收到的令牌与前一个时间戳生成的令牌是否一致，以确定令牌是否有效。

如何防止接口重复请求？我给出了三个方案！

w807139809的博客

12-13

1388

这里我连续点击了4次按钮，可以看到，的确是只有一个请求发送出去，可是因为在代码逻辑中，我们对错误进行了一些处理，所以就将报错消息提示了3次，这样是很不友好的，而且，如果在错误捕获中有做更多的逻辑处理，那么很有可能会导致整个程序的异常。的，但又不能确保真的是每个接口都加了的，可是如果要一个接口一个接口的排查，那这维护了四五年的系统，成百上千的接口肯定要耗费非常多的精力，根本就是不现实的，所以就只能去做。方案二的路子，我们发现确实问题重重，那么接下来我们来看第三种方案，也是我们最终采用的方案。

API如何防止攻击？

u011791378的专栏

12-20

2254

API设计原则轻量级适合跨操作系统易于开发易于测试易于部署 API安全防护 1.防伪装攻击：第三方有意或恶意的调用我们的接口 2.防篡改攻击：请求头/参数在传输过程被修改 3.防重放攻击：请求被截获，数据原封不动的发送给接收方 4.防数据信息泄漏：截获请求值/返回值，截获到账号、密码等敏感数据设计原则就不多说了，以下主要说下API得防护。 ...

Java后端防止频繁请求、重复提交

Tzeao

04-10

1万+

在客户端网络慢或者服务器响应慢时，用户有时是会频繁刷新页面或重复提交表单的，这样是会给服务器造成不小的负担的，同时在添加数据时有可能造成不必要的麻烦。所以我们在后端也有必要进行防抖操作。

java架构学习——17. 表单重复提交&防止模拟请求&跨域解决方案&XSS攻击

wmq_fly的博客

02-15

869

一、http长连接与短连接在HTTP/1.0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源，如JavaScript文件、图像文件、CSS文件等；当浏览器每遇到这样一个Web资源，就会建立一个HTTP会话。但从 HTTP/1.1起，默认使用长连接，用以保...

API接口安全策略文档

06-29

1.目标 防伪装攻击：第三方恶意调用接口。 防篡改攻击：请求在传输过程被修改。 防重放攻击：请求被截获后，被多次重放。 防数据信息泄漏：被截获到系统数据，例如账号、密码、交易信息等。

API 接口应该如何设计？如何保证安全？如何签名？如何防重？

caixiangting的博客

07-17

1267

Token访问令牌accesstoken,用于接口中,用于标识接口调用者的身份、凭证，减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号，服务器会给出一个appId和一个key,key用于参数签名使用，注意key保存到客户端，需要做一些安全处理，防止泄露。timestamp时间戳，是客户端调用接口时对应的当前时间戳，时间戳用于防止DoS攻击。nonce随机值，是客户端随机生成的值，作为参数传递过来，随机值的目的是增加sign签名的多变性。...

ASP.NET WebApi服务接口如何防止重复请求实现HTTP幂等性(八)

weixin_33824363的博客

09-22

2144

一、背景描述与课程介绍明人不说暗话，跟着阿笨一起玩WebApi。在我们平时开发项目中可能会出现下面这些情况; 1）、由于用户误操作，多次点击网页表单提交按钮。由于网速等原因造成页面卡顿，用户重复刷新提交页面。黑客或恶意用户使用postman等工具重复恶意提交表单（攻击网站）。这些情况都会导致表单重复提交，造成数据重复，增加服务器负载，严重甚至会造成服务器宕机。因此有效防止表单重复提交有一...

API接口防刷实现（重复调用）

清汉_CSDN

07-18

496

*** 防刷切面实现类/*** 切入点} /*** 处理前* @returnthrow new FslServiceException("[防刷]入参不允许为空");return;} /*** 入口break;default : throw new FslServiceException("无效的策略");} } /*** 默认处理方式} else {

webapi避免http重复请求

daoer_sofu的专栏

11-03

687

route过滤添加路由过滤，在过滤器中判断sessionid或者cookie session session服务端文件，存储guid或者用户账户（操作简单，增加服务器压力） session管理参考：https://www.cnblogs.com/wxdlut/p/9237577.html cookie cookie浏览器端，浏览器请求附带cookie，cookie设置超时管理连接状态）路由过滤实现方式 golang gin.Default().Use(func() gin.Handl

API 接口防刷（接口请求次数限制）

仰望-星空~~的博客

08-19

2041

创建自定义的注解请求限制的自定义注解@Target 注解可修饰的对象范围，ElementType.METHOD 作用于方法，ElementType.TYPE 作用于类(ElementType)取值有：1.CONSTRUCTOR:用于描述构造器2.FIELD:用于描述域3.LOCAL_VARIABLE:用于描述局部变量4.METHOD:用于描述方法5.PACKAGE:用于描述包6.PARAMETER:用于描述参数7.TYPE:用于描述类、接口(包括注解类型) 或enum声明。

WebApi接口在超短时间内重复提交的解决方案

09-02

2217

防止短时间内重复提交请求的简单解决方法

API接口重复提交