一行代碼搞定Spring Boot反爬蟲(chóng)，防止接口盜刷！

編輯：業(yè)余草

來(lái)源：網(wǎng)絡(luò)

做電商網(wǎng)站的時(shí)候，總有競(jìng)爭(zhēng)對(duì)手利用爬蟲(chóng)來(lái)爬你的數(shù)據(jù)。如果你沒(méi)有反爬蟲(chóng)措施，網(wǎng)站都可能被爬垮。好在阿里云現(xiàn)在有一些基礎(chǔ)服務(wù)，可以幫你反爬蟲(chóng)，但是費(fèi)用太貴。作為程序員，我們還是希望自己動(dòng)手解決它！

我通過(guò)一行代碼解決掉反爬蟲(chóng)，防止接口被刷后，解決掉了公司多年來(lái)對(duì)取證并告這些公司的繁瑣法律問(wèn)題。這不，公司給我的 80000 獎(jiǎng)金立馬就到賬了！

廢話不多說(shuō)，下面開(kāi)始正文吧！

kk-anti-reptile 是適用于基于 spring-boot 開(kāi)發(fā)的分布式系統(tǒng)的反爬蟲(chóng)組件。

系統(tǒng)要求

• 基于 spring-boot 開(kāi)發(fā)(spring-boot1.x, spring-boot2.x均可)
• 需要使用 redis

工作流程

kk-anti-reptile 使用基于 Servlet 規(guī)范的的 Filter 對(duì)請(qǐng)求進(jìn)行過(guò)濾，在其內(nèi)部通過(guò) spring-boot 的擴(kuò)展點(diǎn)機(jī)制，實(shí)例化一個(gè) Filter，并注入到 Spring 容器 FilterRegistrationBean 中，通過(guò) Spring 注入到 Servlet 容器中，從而實(shí)現(xiàn)對(duì)請(qǐng)求的過(guò)濾。

在 kk-anti-reptile 的過(guò)濾 Filter 內(nèi)部，又通過(guò)責(zé)任鏈模式，將各種不同的過(guò)濾規(guī)則織入，并提供抽象接口，可由調(diào)用方進(jìn)行規(guī)則擴(kuò)展。

Filter 調(diào)用則鏈進(jìn)行請(qǐng)求過(guò)濾，如過(guò)濾不通過(guò)，則攔截請(qǐng)求，返回狀態(tài)碼 509，并輸出驗(yàn)證碼輸入頁(yè)面，輸出驗(yàn)證碼正確后，調(diào)用過(guò)濾規(guī)則鏈對(duì)規(guī)則進(jìn)行重置。

目前規(guī)則鏈中有如下兩個(gè)規(guī)則

ip-rule

ip-rule 通過(guò)時(shí)間窗口統(tǒng)計(jì)當(dāng)前時(shí)間窗口內(nèi)請(qǐng)求數(shù)，小于規(guī)定的最大請(qǐng)求數(shù)則可通過(guò)，否則不通過(guò)。時(shí)間窗口、最大請(qǐng)求數(shù)、ip 白名單等均可配置。

ua-rule

ua-rule 通過(guò)判斷請(qǐng)求攜帶的 User-Agent，得到操作系統(tǒng)、設(shè)備信息、瀏覽器信息等，可配置各種維度對(duì)請(qǐng)求進(jìn)行過(guò)濾。

命中規(guī)則后

命中爬蟲(chóng)和防盜刷規(guī)則后，會(huì)阻斷請(qǐng)求，并生成接除阻斷的驗(yàn)證碼，驗(yàn)證碼有多種組合方式，如果客戶端可以正確輸入驗(yàn)證碼，則可以繼續(xù)訪問(wèn)

驗(yàn)證碼有中文、英文字母+數(shù)字、簡(jiǎn)單算術(shù)三種形式，每種形式又有靜態(tài)圖片和 GIF 動(dòng)圖兩種圖片格式，即目前共有如下六種，所有類型的驗(yàn)證碼會(huì)隨機(jī)出現(xiàn)，目前技術(shù)手段識(shí)別難度極高，可有效阻止防止爬蟲(chóng)大規(guī)模爬取數(shù)據(jù)

接入使用

后端接入非常簡(jiǎn)單，只需要引用 kk-anti-reptile 的 maven 依賴，并配置啟用 kk-anti-reptile 即可加入 maven 依賴

<dependency>
????<groupId>cn.keking.projectgroupId>
????<artifactId>kk-anti-reptileartifactId>
????<version>1.0.0-SNAPSHOTversion>
dependency>

配置啟用 kk-anti-reptile

anti.reptile.manager.enabled=true

前端需要在統(tǒng)一發(fā)送請(qǐng)求的 ajax 處加入攔截，攔截到請(qǐng)求返回狀態(tài)碼 509 后彈出一個(gè)新頁(yè)面，并把響應(yīng)內(nèi)容轉(zhuǎn)出到頁(yè)面中，然后向頁(yè)面中傳入后端接口 baseUrl 參數(shù)即可，以使用 axios 請(qǐng)求為例：

import?axios?from?'axios';
import?{baseUrl}?from?'./config';

axios.interceptors.response.use(
??data?=>?{
????return?data;
??},
??error?=>?{
????if?(error.response.status?===?509)?{
??????let?html?=?error.response.data;
??????let?verifyWindow?=?window.open("","_blank","height=400,width=560");
??????verifyWindow.document.write(html);
??????verifyWindow.document.getElementById("baseUrl").value?=?baseUrl;
????}
??}
);
export?default?axios;

注意

• apollo-client 需啟用 bootstrap

使用 apollo 配置中心的用戶，由于組件內(nèi)部用到 @ConditionalOnProperty，要在 application.properties/bootstrap.properties 中加入如下樣例配置，(apollo-client 需要 0.10.0 及以上版本）詳見(jiàn) apollo bootstrap 說(shuō)明

apollo.bootstrap.enabled = true

• 需要有 Redisson

連接如果項(xiàng)目中有用到 Redisson，kk-anti-reptile 會(huì)自動(dòng)獲取 RedissonClient 實(shí)例對(duì)象; 如果沒(méi)用到，需要在配置文件加入如下 Redisson 連接相關(guān)配置:

spring.redisson.address=redis://192.168.1.204:6379
spring.redisson.password=xxx

配置一覽表

在 spring-boot 中，所有配置在配置文件都會(huì)有自動(dòng)提示和說(shuō)明，如下圖：

所有配置都以 anti.reptile.manager 為前綴，如下為所有配置項(xiàng)及說(shuō)明:

推薦閱讀
啥？HashMap 1.8 還有死循環(huán)？你逗我呢！
什么是SQL 注入？
比Navicat還要好用的通用數(shù)據(jù)庫(kù)管理工具，功能強(qiáng)大還免費(fèi)
面試官：哪些場(chǎng)景會(huì)產(chǎn)生OOM？怎么解決？