缓存穿透是指缓存和数据库中都没有的数据,而用户不断发起请求,如发起为id为“-1”的数据或id为特别大不存在的数据。这时的用户很可能是攻击者,攻击会导致数据
库压力过大。如下面这段代码就存在缓存穿透的问题。
/**
* 查询值和分数
*/
@Test
public void getValueAndScore(){
Set <ZSetOperations.TypedTuple> namezset = redisTemplate.boundZSetOps("namezset").reverseRangeWithScores(0, ‐1);
for(ZSetOperations.TypedTuple typedTuple:namezset){
System.out.print("姓名:"+typedTuple.getValue());
System.out.println("金币:"+typedTuple.getScore());
}
}
/**
* 存值
*/
@Test
public void setValue(){
redisTemplate.boundValueOps("name").set("itcast");
redisTemplate.boundValueOps("name").expire(10,TimeUnit.SECONDS);
}
解决方案:
1.接口层增加校验,如用户鉴权校验,id做基础校验,id<=0的直接拦截;
2.从缓存取不到的数据,在数据库中也没有取到,这时也可以将key-value对写为key-0。这样可以防止攻击用户反复用同一个id暴力攻击。代码举例:
public Integer findPrice(Long id) {
//从缓存中查询
Integer sku_price =(Integer)redisTemplate.boundHashOps("sku_price").get(id);
if(sku_price==null){
//缓存中没有,从数据库查询
Sku sku = skuMapper.selectByPrimaryKey(id);
if(sku!=null){ //如果数据库有此对象
sku_price = sku.getPrice();
redisTemplate.boundHashOps("sku_price").put(id,sku_price);
}
}
return sku_price;
}
public int findPrice(Long id) {
//从缓存中查询
Integer sku_price =(Integer)redisTemplate.boundHashOps("sku_price").get(id);
if(sku_price==null){
//缓存中没有,从数据库查询
Sku sku = skuMapper.selectByPrimaryKey(id);
if(sku!=null){ //如果数据库有此对象
sku_price = sku.getPrice();
redisTemplate.boundHashOps("sku_price").put(id,sku_price);
}else{
redisTemplate.boundHashOps("sku_price").put(id,0);
}
}
return sku_price;
}
3. 使用缓存预热
缓存预热就是将数据提前加入到缓存中,当数据发生变更,再将最新的数据更新到缓存。 |
|
收藏
淘帖
踩
