Redis缓存穿透怎么解决?总是被恶意请求打穿数据库
我们接口用了Redis做缓存,但最近发现有些不存在的ID被疯狂请求,比如/api/user?id=99999999,这种请求直接穿透到数据库,导致DB压力暴增。
我试过缓存空值,但担心内存被占满;也想过用布隆过滤器,但不知道前端这边怎么配合。有没有更稳妥的方案?
目前后端是Node.js,伪代码大概是这样:
const user = await redis.get(<code>user:${id}</code>);
if (user) {
return JSON.parse(user);
} else {
const dbUser = await db.query('SELECT * FROM users WHERE id = ?', [id]);
if (dbUser) {
redis.setex(<code>user:${id}</code>, 3600, JSON.stringify(dbUser));
return dbUser;
}
// 这里要不要setex一个空值?设多久?
}- 2
回答
74浏览
Redis缓存雪崩怎么解决?随机过期时间设置不管用?
最近在优化项目缓存时遇到个难题:我们用了Redis存热点数据,但发现大量key会在同一时间集中过期。昨天测试时,设置了统一30分钟过期时间的用户信息缓存突然全失效,导致数据库瞬间被打爆。 我试过给过期...
- 2
回答
29浏览
Redis缓存过期后怎么避免缓存击穿?
最近项目高并发接口出现缓存击穿问题,当Redis缓存过期后,大量请求直接打到数据库。我尝试用加锁方式让一个线程更新缓存,但发现锁竞争导致接口响应变慢,而且偶尔还是会有脏数据穿透,有没有更好的解决方案?...
- 1
回答
13浏览
缓存穿透导致接口被恶意刷爆怎么办?
我们线上有个商品详情接口,最近被爬虫疯狂请求不存在的ID,直接打穿缓存压垮数据库了。试过加布隆过滤器但没生效,是不是哪里写错了? 这是我现在用的缓存逻辑: async function getProd...
- 2
回答
64浏览
前端缓存预热时资源加载顺序混乱怎么办?
在做电商网站首屏优化时,我用Service Worker做缓存预热,但发现图片和API请求的加载顺序总是乱的。比如先请求了商品详情接口,再加载轮播图资源,导致页面卡顿几秒。 我尝试在service w...
- 1
回答
4浏览
React Native里fetch请求总是超时怎么办?
我在用React Native做App,调用公司内网API时经常遇到fetch请求超时的问题,明明网络是通的,浏览器能正常访问接口。 试过加timeout参数但好像没用,也检查了AndroidMani...
- 1
回答
5浏览
Next.js中间件里怎么获取请求的URL路径?
我在写Next.js的middleware时,想根据用户访问的路径做不同处理,但不知道怎么拿到当前请求的URL。试了req.url但好像不是标准格式,还带上了查询参数,搞得判断很麻烦。 比如我想拦截所...
- 1
回答
35浏览
Next.js中间件里怎么获取请求的URL路径?
我在写Next.js的middleware时,想根据用户访问的路径做不同处理,但不知道怎么拿到当前请求的URL路径。试了request.url,结果是个完整URL,还要自己解析,有没有更直接的方法? ...
- 1
回答
22浏览
前端怎么防止接口请求被重放攻击?
最近在做支付相关的功能,后端要求每个请求都要防重放,但我作为前端不太清楚该怎么配合。我试过加时间戳,但好像还是能被截获重放。 现在用的是 Vue3 + Axios,下面是我目前的请求封装,是不是缺了什...
- 2
回答
27浏览
为什么我的前端请求总是报错”Blocked by CORS”,即使后端设置了Access-Control-Allow-Origin?
我在做前后端分离项目时遇到个怪问题:fetch('/api/data')请求总是被浏览器拦截,显示"Blocked by CORS policy: No 'Access-Control-Allow-O...
- 2
回答
28浏览
PWA中拦截fetch请求时如何正确返回缓存数据?
在开发PWA时,我尝试用Service Worker拦截fetch请求,想在网络错误时返回缓存数据。但发现当网络断开时,某些请求返回了504而不是缓存内容,这是为什么? 我的service worke...
你现在的做法是典型的缓存穿透场景,核心问题在于:不存在的ID请求,Redis里查不到,DB里也查不到,但每次请求都得走DB一层,相当于给DB开了个无底洞。
先说结论:缓存空值 + 布隆过滤器 + ID合法性校验,三件套组合用才稳妥,别光靠一个。
先看你伪代码里那个问题:空值要不要setex?要,但得设短点,别设太久。比如设300秒(5分钟)就行,别设一小时。因为恶意ID通常是随机生成的,过一会儿换一个ID继续打,你缓存太久反而占内存。缓存空值的关键是让这些“无效请求”在Redis里走一圈就返回,别打到DB。
但光缓存空值也有问题:如果攻击者能生成大量不同ID(比如1亿个),那你缓存的空值也得占1亿个key,内存照样扛不住。所以得加一层布隆过滤器。
布隆过滤器不是前端配合的问题,是后端自己就能加的。你可以在Redis前再套一层布隆过滤器,把所有合法存在的ID提前放进去(比如从DB里批量加载,或者每次DB查到数据时同步加进去)。请求来的时候,先问布隆过滤器:“这个ID可能存在吗?”如果回答“不存在”,直接返回,不用查Redis,也不用查DB。
Node.js里可以用
bloom-filters这个库,或者直接用 RedisBloom 模块(Redis 6+ 支持),后者更稳,不用自己维护布隆过滤器状态。另外,别忘了前置校验:比如ID是不是数字?是不是在合理范围内?像
id=99999999这种,如果你的用户表ID是自增的,最大就几万,那直接在接口层拦截掉就行,连DB都别让它打。再给你改一下伪代码,实战可用的:
调试的时候,你可以手动造几个恶意ID压测一下,看看日志里有多少请求被布隆过滤器挡掉了,或者被空值缓存挡掉了。如果发现DB压力还是高,八成是布隆过滤器没加,或者空值没缓存,或者校验没做全。
最后吐槽一句:布隆过滤器这玩意儿其实不难,难的是你得先意识到它能用在这儿。很多人一上来就想“前端配合”,其实根本不用前端管,后端自己就能闭环解决。
再强调一遍:空值缓存+布隆过滤器+ID校验,三者缺一不可,光靠一个等于没防。