秒杀专题-系统前端设计(二)
在大致分析秒杀系统的后端处理思路之后,来分析一下系统前端需要解决的问题:
恶意请求
链接暴露
恶意请求
Nginx负责均衡,同时拦截异常请求
屏蔽ip地址
屏蔽user-agent
屏蔽代理ip,有两种情形会需要屏蔽代理ip:一是代理ip访问,二是负载均衡(real-ip请求负载均衡服务器,再代理给后端server)
链接暴露
链接暴露的问题十分明显了,如果秒杀链接提前被人知晓,那么在正式开始秒杀前就已经可以下单。即使在后端做了时间校验,对于普通的用户仍然是不公平的,可以写好脚本,按时间进行大量并发请求,从而让真正的用户抢不到商品。所以有必要提供一种url的动态化。
前端代码如下:
function getMiaoshaPath() {
$.ajax({
url :"/miaosha/getPath",
type : "GET",
data:{
goodsId :$("#goodsId").val(),
verifyCode : $("#verifyCode").val()
},
success:function(data){
if (data.code ==0) {//
var path = data.data
domiaosha(path)
}else {
layer.msg(data.message)
}
},
error :function () {
layer.msg("客户端错误")
}
})
}
后端加密代码样例:
public static String Md5ForUrl(String url) {
try {
MessageDigest md5 = MessageDigest.getInstance("MD5");
md5.update(url.getBytes("UTF-8"));
byte[] b = md5.digest();
int i;
StringBuffer buf = new StringBuffer();
for(int offset = 0, len = b.length; offset < len; offset++) {
i = b[offset];
if(i < 0) {
i += 256;
}
if(i < 16) {
buf.append("0");
}
buf.append(Integer.toHexString(i));
}
url = buf.toString();
System.out.println("result = " + url);
} catch (Exception e) {
e.printStackTrace();
}
return url;
}
整理流程就变化为,只有点击秒杀按钮才能获得真正的地址进行秒杀,而后端只处理正确秒杀地址的请求。示意图如下:
可以看到真正的秒杀URL和秒杀服务在秒杀开启前都不可能获取,也就杜绝了黄牛根据url提前写好脚本冲击服务器。
但是,这种情况仍然不能解决 利用 按键精灵或者 机器人 频繁点击按钮的操作,为了降低点击按钮的次数,以及高并发下,防止多个用户在同一时间内,并发出大量请求,加入数学公式图形验证码等防高并发优化。
更进一步
在现在前后端分离开发的大背景下,前端的页面多半不需要通过后端服务器来获取。所以可以考虑将页面资源静态化,将必要的秒杀页面加入到cdn服务器中,这样开启秒杀服务的时候可以减少前端的压力。
同时,也不应该让秒杀页面中的按钮可以一直点击,一来给服务器凭空增加很多处理压力,二来给黄牛可以利用的空间,按钮最好是点击一次之后几秒内置灰,同时后端也需要做好配合工作,检查同一用户的请求间隔,直接返回过于频繁的请求。
单机无法处理的并发量,加上机器数量构建集群一定可以解决。构建Redis集群,提高系统的可用性,当然同样的,一旦加上了集群,系统的复杂度就直线上升了。而且Redis本身还存在的,缓存穿透和缓存雪崩也是需要解决的问题。那么下一篇就Redis相关问题进行简单分析。
