Bootstrap

防止API请求重复攻击

在 API 设计中,防止请求重复攻击是确保系统安全性和稳定性的关键部分。以下是一些有效的技术和策略来防止 API 请求的重复攻击。

1. 使用唯一的请求 ID(去重ID)

每次请求时,客户端生成一个唯一的请求 ID,并将其作为请求的一部分发送到服务器。服务器可以检查这个 ID 是否已经处理过。

val processedRequests = mutableSetOf<String>()

fun handleRequest(request: ApiRequest) {
    if (processedRequests.contains(request.requestId)) {
        return
    }
    processedRequests.add(request.requestId)
}

优点

  • 简单有效。
  • 请求 ID 可以是 UUID、时间戳+随机数等。

缺点

  • 需要在服务器端存储请求 ID,可能增加存储开销。

适用场景

  • 需要确保每个请求仅处理一次,无论请求是否被重复发送。
  • 适用于操作需要强一致性,如金融交易或订单创建。

2. 使用幂等性键(Idempotency Key)

类似于请求 ID,幂等性键用于确保即使请求被重复发送。

val idempotencyCache = mutableMapOf<String, Boolean>()

fun handleRequest(request: ApiRequest) {
    if (idempotencyCache.contains(request.idempotencyKey)) {
        return
    }
    idempotencyCache[request.idempotencyKey] = true
}

优点

  • 高效简单:在每个请求中包含唯一标识符,服务器只需检查是否已处理过该请求。
  • 易于实现:适用于各种应用场景。

缺点

  • 需要管理幂等性键的生命周期和存储。

适用场景<

;