防止多次调用Web服务

时间:2012-07-16 07:48:06

标签: c# asp.net web-services

我为我的客户提供了一个Web服务,允许他将记录添加到生产数据库中。

我最近遇到了一个事件,我的客户程序员在一个循环中调用该服务,迭代调用我的服务数千​​次。

我的问题是防止这种事情发生的最佳方法。

我想到了一些方法: 1.对服务的引用,我可以为每个调用该服务的客户更新计数器,但这看起来太过于笨拙。 2.检查调用此服务的客户端的IP,并在每次呼叫服务时提出标志,然后每小时重置一次标志。

我很肯定有更好的方法可以提出任何建议。

谢谢大卫

3 个答案:

答案 0 :(得分:3)

方法是在会话中存储一个计数器并使用计数器来防止每次调用太多。

但是如果您的用户可能会尝试避免这种情况并且每次都发送不同的Cookie *,那么您需要创建一个类似于会话的自定义表,但是将用户与ip连接,而不是使用cookie。

此处还有一个问题是,如果您在ip上阻止基本操作,则可能会阻止整个公司从代理中出来。所以最后的正确方法,但更复杂的是让 ip和cookie连接用户并知道浏览器是否允许cookie。如果没有,那么你用ip阻止。这里的困难部分是了解cookie。 每次通话都可以强制他发送与现有会话相关的有效Cookie 。如果没有,则浏览器没有cookie。

[*] Cookie与会话相关联 [*]通过使新表保持计数器并与会话断开连接,您还可以避免会话锁定。

在过去,我使用了用于DosAttack的代码,但是当你有很多池和困难的应用程序时,它们都没有正常工作,所以我现在使用自定义表来描述它。这是我测试和使用的两个代码

Dos attacks in your web app

Block Dos attacks easily on asp.net

如何查找保存在表格上的每秒点击次数。以下是我计算每秒点击次数的SQL的一部分。其中一个技巧是,如果我从最后一次检查中获得6秒或更长时间,我会继续添加点击并计算平均值。这是从计算中剪下的代码作为一个想法

set @cDos_TotalCalls = @cDos_TotalCalls + @NewCallsCounter

SET @cMilSecDif = ABS(DATEDIFF(millisecond, @FirstDate, @UtpNow))

-- I left 6sec diferent to make the calculation
IF @cMilSecDif > 6000
    SET @cClickPerSeconds = (@cDos_TotalCalls * 1000 / @cMilSecDif)
else
    SET @cClickPerSeconds = 0

IF @cMilSecDif > 30000
    UPDATE ATMP_LiveUserInfo SET cDos_TotalCalls = @NewCallsCounter, cDos_TotalCallsChecksOn = @UtpNow WHERE cLiveUsersID=@cLiveUsersID         
ELSE IF @cMilSecDif > 16000
    UPDATE ATMP_LiveUserInfo SET cDos_TotalCalls = (cDos_TotalCalls / 2), 
    cDos_TotalCallsChecksOn = DATEADD(millisecond, @cMilSecDif / 2, cDos_TotalCallsChecksOn)
        WHERE cLiveUsersID=@cLiveUsersID

答案 1 :(得分:3)

首先,您需要查看您所处情况的 legal 方面:与您的客户签订的合同是否允许您限制客户的访问?

这个问题超出了SO的范围,但你必须找到一种方法来回答它。因为如果您在法律上有义务处理所有请求,那么就无法绕过它。此外,对您的情况的法律分析可能已经包含一些限制,您可以通过哪种方式限制访问。这反过来会对您的解决方案产生影响。

除了所有这些问题,只关注技术方面,您是否使用某种用户身份验证? (如果没有,为什么不呢?)如果你这样做,你可以实现你决定在每个用户群上使用的任何方案,我认为这是最干净的解决方案(你不需要依赖IP地址,这是一个不知何故丑陋的解决方法)。

一旦确定了识别单个用户的方法,就可以实施多项限制。我想到的第一个是:

  1. 同步处理
    仅在处理完所有先前的请求后才开始处理请求。除了主处理方法中的lock语句之外,甚至可以实现这一点。如果你采用这种方法,
  2. 处理请求之间的时间延迟
    要求在一次处理呼叫后,必须在允许下一次呼叫之前通过特定时间。最简单的解决方案是在用户的会话中存储LastProcessed时间戳。如果你采用这种方法,你需要开始考虑如何在允许处理新请求之前响应 - 你是否向调用者发送错误消息?我想你应该......

    3. 修改
    lock声明,简要解释:

    它旨在用于线程安全操作。语法如下:

    lock(lockObject)
{
    // do stuff
}

    lockObject需要是一个对象,通常是当前类的私有成员。结果是,如果您有2个线程都想要执行此代码,则第一个到达lock语句的线程将锁定lockObject。虽然它确实是这样,但第二个线程无法获取锁定,因为该对象已被锁定。所以它只是坐在那里等待,直到第一个线程在}的块退出时释放锁。只有第二个线程可以锁定lockObject并执行它的操作,阻止任何第三个线程的lockObject,直到它也退出块。

    小心,整个线程安全问题远非微不足道。 (可以说,对它来说唯一微不足道的是程序员可以做出的许多琐碎的错误;-) See here介绍C#中的线程

答案 2 :(得分:0)

获取用户IP并在使用Web服务后将其插入缓存一小时,这将缓存在服务器上:

HttpContext.Current.Cache.Insert("UserIp", true,  null,DateTime.Now.AddHours(1),System.Web.Caching.Cache.NoSlidingExpiration);

当您需要检查用户是否在过去一小时内输入时:

if(HttpContext.Current.Cache["UserIp"] != null)
{
 //means user entered in last hour
}
相关问题
最新问题