个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我有一个 Struts2/Spring 应用程序,我想知道如何阻止“抓取者”。
在我的服务器上,我检测到某些抓取器多次调用相同的操作struts,结果是我的服务器在抓取过程中速度太慢并且数据库有多次命中。
如何停止对同一操作 struts 的多次调用并最大限度地减少数据库命中?
例如,抓取器每分钟调用相同操作超过 40 次。
<小时/>从安全角度来看,我认为我应该使用缓存来存储 IP 地址和电话号码,并在超过限制时阻止 IP。
但我不知道该怎么做。
如果您已经做了同样的事情,请告诉我如何实现解决方案?
最佳答案
如果您同时使用 struts2 和 spring,您应该检查 Spring Security 限制用户尝试的功能。如果用户尝试失败 3 次,则应阻止用户并且无法访问页面,如果尝试次数少于 3 次,我们应重置计数器。此外,csrf token 应以不同的方式用于每次登录尝试。
看看this实现。
主要文件是LimitLoginAuthenticationProvider.java
package com.mkyong.web.handler;
import java.util.Date;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.LockedException;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.stereotype.Component;
import com.mkyong.users.dao.UserDetailsDao;
import com.mkyong.users.model.UserAttempts;
@Component("authenticationProvider")
public class LimitLoginAuthenticationProvider extends DaoAuthenticationProvider {
@Autowired
UserDetailsDao userDetailsDao;
@Autowired
@Qualifier("userDetailsService")
@Override
public void setUserDetailsService(UserDetailsService userDetailsService) {
super.setUserDetailsService(userDetailsService);
}
@Override
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
try {
Authentication auth = super.authenticate(authentication);
//if reach here, means login success, else an exception will be thrown
//reset the user_attempts
userDetailsDao.resetFailAttempts(authentication.getName());
return auth;
} catch (BadCredentialsException e) {
//invalid login, update to user_attempts
userDetailsDao.updateFailAttempts(authentication.getName());
throw e;
} catch (LockedException e){
//this user is locked!
String error = "";
UserAttempts userAttempts =
userDetailsDao.getUserAttempts(authentication.getName());
if(userAttempts!=null){
Date lastAttempts = userAttempts.getLastModified();
error = "User account is locked! <br><br>Username : "
+ authentication.getName() + "<br>Last Attempts : " + lastAttempts;
}else{
error = e.getMessage();
}
throw new LockedException(error);
}
}
}
同样可以通过在struts2中实现拦截器来完成。
public class MyAction implements SessionAware {
private Map<String, Object> session;
@Override
public String execute() {
if (session.containsKey("loginAttempts")) {
Integer loginAttempts = (Integer) session.get("loginAttempts");
if (loginAttempts > 3) {
//block user
} else {
session.put("loginAttempts", loginAttempts+1);
}
}
}
@Override
public void setSession(Map<String, Object> session) {
this.session = session;
}
}
同样使用拦截器
public String intercept (ActionInvocation invocation) throws Exception {
// Get the action context from the invocation so we can access the
// HttpServletRequest and HttpSession objects.
final ActionContext context = invocation.getInvocationContext ();
HttpServletRequest request = (HttpServletRequest) context.get(HTTP_REQUEST);
HttpSession session = request.getSession (true);
// Is there a "user" object stored in the user's HttpSession?
Object user = session.getAttribute (USER_HANDLE);
if (user == null) {
// The user has not logged in yet.
// Is the user attempting to log in right now?
String loginAttempt = request.getParameter (LOGIN_ATTEMPT);
if (! StringUtils.isBlank (loginAttempt) ) { // The user is attempting to log in.
// Process the user's login attempt.
if (processLoginAttempt (request, session) ) {
// The login succeeded send them the login-success page.
return "login-success";
} else {
// The login failed. Set an error if we can on the action.
Object action = invocation.getAction ();
if (action instanceof ValidationAware) {
((ValidationAware) action).addActionError ("Username or password incorrect.");
}
}
}
// Either the login attempt failed or the user hasn't tried to login yet,
// and we need to send the login form.
return "login";
} else {
return invocation.invoke ();
}
}
您还可以在尝试 3 次失败后使用 Recaptcha 或重置密码。
从安全角度来看,您必须做更多的事情。例如,使用缓存来存储 IP 地址和登录尝试,并在用尽所有登录尝试时阻止该 IP。随着 Spring 和Guavas自动过期缓存很容易使用expireAfterWrite(10, TimeUnit.MINUTES)实现。
如果您只想存储/缓存 ip 地址并计为键值对 Spring Radis在 Spring 框架中也是一个不错的选择。
关于java - 如何阻止或限制对一个操作的多次调用 Struts(抓取器),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37821440/
25
4
0
我正在尝试从 struts-config 调用使用 struts 1 中的操作转发属性,并且我想调用另一个操作,它位于另一个 struts.config 文件中。显然它不起作用! 我的代码是: In
我是 Struts 框架的菜鸟。我试图了解 Action 映射是如何工作的。假设我有一个发送 AJAX 请求的 JavaScript 文件: $("button").click(function(){
嗨,我愿意更新从数据库中获取并加载到 JSP 上的复选框的值。我正在创建员工资料。 Jsp 具有员工姓名、员工地址、员工技术技能等字段。 员工技能具有以下复选框以选择以下值 复选框 1:Java 复选
在上面的代码中,fo
如何找到正在使用的 Struts 版本 在 Web应用项目在 Eclipse 中? 我的 struts-config.xml 说 谢谢。 最佳答案 打开 struts jar 并在 META-INF
我一段时间以来一直试图找到这个问题的明确答案,但没有任何运气。我需要知道为什么Struts是紧耦合的? struts 的哪个组件使其紧密耦合。 最佳答案 这太棒了Mkyong article正如我们所
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 5 年前。 Improve this qu
我只是尝试在带有 struts 提供的标签的 jsp 页面中包含一个文本框。但它表现得很典型。 在职的 不工作 所以,没有属性(property)'value' ,它不工作。 请帮帮我。 笔记: 使
我使用 eclipse 来实现原生 Struts 和 hybernate 支持应用程序在页面中显示一系列链接。我收到错误: javax.servlet.jsp.JspException: Cannot
我的 JSP 中有以下代码: .. .. .. .. 这在 struts-config.xml 中文件: 喜欢delete行动吧,我有edit和up
谁能解释一下 Struts 和 Tapestry 框架之间的区别或者它们之间的比较? 问候,马亨德拉·阿特尼亚孟买印度 最佳答案 此处更新了 Tapestry 教程:http://tapestry.a
我有一个在 weblogic 上运行的 j2ee 应用程序。我对我的多功能盒感到困惑。 我对 multibox 的了解是,选中的项目将在提交时作为字符串数组传递。 我不知道为什么在我的应用程序中,当我
我正在设计一个购物车项目,其中只有我的内容区域会发生变化,因此我使用 struts 磁贴对其进行了配置,并且一切正常,直到我在我的项目中遇到表单。每当我尝试使用图 block 显示表单(struts
我想删除在 Struts 1.3 显示标签中没有找到显示的消息,当没有从数据库中获取记录时。 有可能这样做吗...? 最佳答案 从我的角度来看,默认行为应该是在空数据源的情况下不显示任何消息。 emp
我在浏览器窗口中收到以下错误: org.apache.jasper.JasperException:javax.servlet.ServletException:javax.servlet.jsp.J
我是 Struts 的新手。我在 struts 中有一个现有的 java 项目。该项目有 struts.xml 和 .struts.mex 文件。我了解到 struts.xml 是 Action 类到
我遇到了问题。我一直在不同的论坛上寻找答案,但不幸的是我没有找到答案。我需要这个,因为我正在创建一个网页,您可以在其中更改语言,因此不能对其进行硬编码。我需要这样做: "> 所以我想将 html 标记
我正在使用 Struts 2.1.8.1。我想在我的 jsp 页面中使用 struts 提供的标签。例如 Transfer Program - Log
我创建了一个名为 RegesterAction 的新类,但我没有将此类保留在任何包中。如何在 struts.xml 中配置此类? 下面是 struts.xml 文件,但我无法理解属性值 "defaul
我正在开发一个支持 AJAX 的 JavaScript 前端,它可以调用用 Struts 编写的 Java 后端。我的问题是,当后端抛出异常时,客户端仍然会看到“200 OK”HTTP 响应代码,而不
我是一名优秀的程序员,十分优秀!