一、 秒杀下单接口隐藏
在实际开发中,我们一般都会将后端的访问接口来进行隐藏,从而防止一些恶意用户,去猜测我们的后端地址,来进行恶意的访问。
当前虽然可以确保用户只有在登录的情况下才可以进行秒杀下单,但是无法防止有一些恶意的用户在登录了之后,猜测秒杀下单的接口地址进行恶意刷单。所以需要对秒杀接口地址进行隐藏。
在用户每一次点击抢购的时候,都首先去生成一个随机数并存入redis,接着用户携带着这个随机数去访问秒杀下单,下单接口首先会从redis中获取该随机数进行匹配,如果匹配成功,则进行后续下单操作,如果匹配不成功,则认定为非法访问。
1) 将随机数工具类放入common工程中
public class RandomUtil {public static String getRandomString() {int length = 15;String base = "abcdefghijklmnopqrstuvwxyz0123456789";Random random = new Random();StringBuffer sb = new StringBuffer();for (int i = 0; i < length; i++) {int number = random.nextInt(base.length());sb.append(base.charAt(number));}return sb.toString();}
public static void main(String[] args) {String randomString = RandomUtil.getRandomString();System.out.println(randomString);}
}
2) 秒杀渲染服务定义随机数接口
/**
* 接口加密
* 生成随机数存入redis,10秒有效期
*/
@GetMapping("/getToken")
@ResponseBody
public String getToken(){String randomString = RandomUtil.getRandomString();
String cookieValue = this.readCookie();redisTemplate.boundValueOps("randomcode_"+cookieValue).set(randomString,10, TimeUnit.SECONDS);return randomString;
}
//读取cookie
private String readCookie(){HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();String cookieValue = CookieUtil.readCookie(request, "uid").get("uid");return cookieValue;
}
3) js修改
修改js下单方法
//秒杀下单
add:function(id){app.msg ='正在下单';//获取随机数axios.get("/api/wseckillorder/getToken").then(function (response) {var random=response.data;axios.get("/api/wseckillorder/add?time="+moment(app.dateMenus[0]).format("YYYYMMDDHH")+"&id="+id+"&random="+random).then(function (response) {if (response.data.flag){app.msg='抢单成功,即将进入支付!';}else{app.msg='抢单失败';}})})
}
4) 秒杀渲染服务更改
修改秒杀渲染服务下单接口
/*** 秒杀下单* @param time 当前时间段* @param id 秒杀商品id* @return*/
@RequestMapping("/add")
@ResponseBody
public Result add(String time,Long id,String random){
//校验密文有效String randomcode = (String) redisTemplate.boundValueOps("randomcode").get();if (StringUtils.isEmpty(randomcode) || !random.equals(randomcode)){return new Result(false, StatusCode.ERROR,"无效访问");}
Result result = secKillOrderFeign.add(time, id);return result;
}
二、 秒杀下单接口限流
因为秒杀的特殊业务场景,生产场景下,还有可能要对秒杀下单接口进行访问流量控制,防止过多的请求进入到后端服务器。对于限流的实现方式,我们之前已经接触过通过nginx限流,网关限流。但是他们都是对一个大的服务进行访问限流,如果现在只是要对某一个服务中的接口方法进行限流呢?这里推荐使用google提供的guava工具包中的RateLimiter进行实现,其内部是基于令牌桶算法进行限流计算
1)添加依赖
<dependency><groupId>com.google.guava</groupId><artifactId>guava</artifactId><version>28.0-jre</version>
</dependency>2)自定义限流注解
@Inherited
@Documented
@Target({ElementType.METHOD, ElementType.FIELD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface AccessLimit {}
3)自定义切面类
@Component
@Scope
@Aspect
public class AccessLimitAop {
@Autowiredprivate HttpServletResponse httpServletResponse;
private RateLimiter rateLimiter = RateLimiter.create(20.0);
@Pointcut("@annotation(com.shangcheng.webSecKill.aspect.AccessLimit)")public void limit(){}
@Around("limit()")public Object around(ProceedingJoinPoint proceedingJoinPoint){
boolean flag = rateLimiter.tryAcquire();Object obj = null;
try{if (flag){obj=proceedingJoinPoint.proceed();}else{String errorMessage = JSON.toJSONString(new Result(false,StatusCode.ERROR,"fail"));outMessage(httpServletResponse,errorMessage);}}catch (Throwable throwable) {throwable.printStackTrace();}return obj;
}
private void outMessage(HttpServletResponse response, String errorMessage) {
ServletOutputStream outputStream = null;try {response.setContentType("application/json;charset=UTF-8");outputStream = response.getOutputStream();outputStream.write(errorMessage.getBytes("UTF-8"));} catch (IOException e) {e.printStackTrace();}finally {try {outputStream.close();} catch (IOException e) {e.printStackTrace();}}
}
}
4)使用自定义限流注解