在 API 设计中,防止请求重复攻击是确保系统安全性和稳定性的关键部分。以下是一些有效的技术和策略来防止 API 请求的重复攻击。
1. 使用唯一的请求 ID(去重ID)
每次请求时,客户端生成一个唯一的请求 ID,并将其作为请求的一部分发送到服务器。服务器可以检查这个 ID 是否已经处理过。
val processedRequests = mutableSetOf<String>()
fun handleRequest(request: ApiRequest) {
if (processedRequests.contains(request.requestId)) {
return
}
processedRequests.add(request.requestId)
}
优点:
- 简单有效。
- 请求 ID 可以是 UUID、时间戳+随机数等。
缺点:
- 需要在服务器端存储请求 ID,可能增加存储开销。
适用场景
- 需要确保每个请求仅处理一次,无论请求是否被重复发送。
- 适用于操作需要强一致性,如金融交易或订单创建。
2. 使用幂等性键(Idempotency Key)
类似于请求 ID,幂等性键用于确保即使请求被重复发送。
val idempotencyCache = mutableMapOf<String, Boolean>()
fun handleRequest(request: ApiRequest) {
if (idempotencyCache.contains(request.idempotencyKey)) {
return
}
idempotencyCache[request.idempotencyKey] = true
}
优点:
- 高效简单:在每个请求中包含唯一标识符,服务器只需检查是否已处理过该请求。
- 易于实现:适用于各种应用场景。
缺点:
- 需要管理幂等性键的生命周期和存储。