Redis实现防重放攻击保护（redis防重放）

Redis实现防重放攻击保护

防重放攻击是指攻击者获取服务器上传输给客户端的数据，然后重新发送这些数据将攻击者置于服务器中，从而欺骗服务器完成某些操作。为了防御防重放攻击，可以使用Redis来实现。Redis 是一个开源的、内存中的数据存储系统，可以用于存储各种键值对。

Redis的实现原理如下：服务器端为客户端生成一个限制时间内使用一次的请求令牌，比如一个UUID。然后，将该令牌作为键存储至Redis中，值为请求创建时间。接着，将令牌返回给客户端，由客户端将令牌一起带入该请求。服务器端收到客户端发来的请求，并从Redis中获取相应的令牌及其过期时间，看看这个令牌是否过期，如果没有过期，可以确认这是一个有效请求，若过期则说明为伪造的攻击请求，服务器端会拒绝该请求。示例代码如下：

//客户端传入身份验证
String token = UUID.randomUUID().toString();
// 保存token 并填入Token的过期时间
long expire = System.currentTimeMillis() + 1000 * 60; //60s

//将token放入redis缓存
redisTemplate.opsForValue().set(token, expire);
//token返回给客户端
response.setHeader("token", token);
//服务端收到客户端请求
// 取出token及其过期时间
Object obj = redisTemplate.opsForValue().get(token);

if (obj != null) {
        long expire1 = (long)obj;
        if (System.currentTimeMillis() > expire1) {
            //token已过期，拒绝请求
            response.setStatus(403);
            return;
        }
    }
// 其他处理

通过以上代码，我们就可以实现通过Redis将令牌存储到Redis中，从而实现防重放攻击的保护。Redis由于在内存中存储数据，因此存取速度极快，在保护防重放攻击的功能上具备极大的优势。