问题来源:
近日发现某些用户对一些商品进行多次下单,而且比较频繁,而且下单时间都在同一秒内,怀疑产生重复请求
问题描述:
用户在商品页面,多次点击下单按钮,后台怎么知道是用户对一个商品进行多次下单,还是人工误操作或者客户端异常进行重复请求下单了呢?
解决方案:
- 进入商品页面,就是下单页面的时候,产生一个不重复的随机数。
- 下单的时候把这个随机数带上
- 下单校验的时候,利用Redis缓存锁,先锁这个随机数,再做业务处理,做完再释放。
问题升级:
如果客户端重复的下单请求过多,或者后台处理过快,就会产生所谓的重放攻击。
如,客户端请求模拟
请求A 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求A 获得锁成功,开始处理
请求B 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求B 获得锁失败
请求C 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求C 获得锁失败
请求A 下单成功,释放锁
请求D 20:18:01 xxx/order?storeid=1&randomNum=abcd123 用户下单
请求D 获得锁成功,开始处理
请求D 下单成功,释放锁
针对同一个随机数randomNum=abcd123居然下单成功2次,这就是重复攻击带来的危害
问题升级,解决方案:
- 下单校验的时候,利用Redis缓存锁,先锁这个随机数,锁成功之后,判断随机数是否曾经处理过,如果没有就把随机数加入缓存设置时长为X,再做业务处理,做完再释放。
关键代码
/**
* 获得锁
* @param lockId
* @return
*/
public boolean getLock(String lockId) {
try {
String KEY_LOCK_ID_="LOCK_ID_";
String KEY_LOCK_HIS_ID_="LOCK_HIS_ID_";
Boolean success = redisTemplate.opsForValue().setIfAbsent(KEY_LOCK_ID_+lockId, "lock");
//解决重放攻击
if(success != null && success){
if(hasKey(KEY_LOCK_HIS_ID_+lockId)){
success = false;
logger.error("【REDIS操作】【获得锁失败】【已存在历史锁码】【怀疑重放攻击:"+lockId+"】");
}else{
success = true;
set(KEY_LOCK_HIS_ID_+lockId,lockId,60*60*24);
}
}
return success;
} catch (Exception e) {
logger.error("【REDIS操作】【获得锁错误】",e);
return false;
}
}
/**
* 释放锁
* @param lockId
*/
public void releaseLock(String lockId) {
try {
String KEY_LOCK_ID_="LOCK_ID_";
redisTemplate.delete(KEY_LOCK_ID_ + lockId);
} catch (Exception e) {
logger.error("【REDIS操作】【释放锁错误】",e);
}
}
