新写了一个拦截器的接口,用于防止刷接口攻击服务器的,其中有一段需要记录token访问uri的次数,当次数达到上限则拒绝服务并加入黑名单,大致逻辑如下:

// Redis存储key
String limitkey = "LIMIT_URI" + ":" + token + ":" + uri;
int visitNum = 0;

if(jedisCluster.exists(limitkey)){
	 visitNum = Integer.parseInt(jedisCluster.get(limitkey));
	 if(n > 100){
		// 拒绝服务或是加入黑名单等其他操作...
	 } else {
		visitNum++;
		jedisCluster.set(limitkey, visitNum+""); // 问题在这一行!!!
	 }	 
} else {
    visitNum = 1;
	jedisCluster.set(limitkey, visitNum+"");
	jedisCluster.expire(limitkey, 5); // 存储5秒钟自动销毁
}

 1.问题:在执行中出现问题,redis中存储的key一直存在,到时间后没有销毁,这会导致累计次数大到上线后无法在访问,机智的创造了一个BUG。

 2.现象:经过redis中数据属性查询,发现更新过的数据,超时属性,即有效期属性的值为 -1,这就表示是长期有效了。

3.原因分析:通过查询资料的解释是,Redis在调取set、getset方法时,对数据重新赋值或删除操作不会保留有效期的属性。


4.解决方法:使用setrange方法可以避免这个问题。使用方法是,在更新key对应的value值时,使用下面方法,
(1)jedisCluster使用:jedisCluster.setrange(limitkey, 0L, visitNum+"");
(2)redisTemplate使用:redisTemplate.opsForValue().set(limitkey, visitNum+"", 0);

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐