Với sự phát triển của Internet, công nghệ bot ngày càng trở nên phổ biến và tiên tiến. Tuy nhiên, đối với một số trang web, bot có thể gây ra vấn đề, dẫn đến lãng phí tài nguyên và nguy cơ bảo mật. Bài viết này sẽ giới thiệu cách sử dụng framework Java Spring Boot để ngăn chặn sự xâm nhập của bot và cung cấp một số cơ chế bảo vệ phổ biến.

Tìm hiểu về Nguyên lý và Đặc điểm của Bot

Trước khi bắt đầu ngăn chặn bot, chúng ta cần hiểu cách thức hoạt động và đặc điểm của bot. Bot gửi các yêu cầu HTTP để lấy nội dung trang web, sau đó phân tích và trích xuất dữ liệu cần thiết. Chúng có thể mô phỏng hành vi trình duyệt hoặc sử dụng các kỹ thuật cụ thể để vượt qua các cơ chế bảo vệ thông thường.

Sử dụng Kiểm tra User-Agent để Phát hiện Bot

Trong Spring Boot, chúng ta có thể tạo một bộ lọc để kiểm tra User-Agent. Bộ lọc này sẽ chặn và kiểm tra User-Agent trước khi yêu cầu đến được controller. Dưới đây là ví dụ mã nguồn đã thay đổi:

public class AgentFilter implements HandlerInterceptor {

    private static final List<String> BOT_AGENTS = Arrays.asList("crawler", "bot", "spider");

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String agent = request.getHeader("User-Agent");
        if (agent != null && isBotAgent(agent)) {
            response.sendRedirect("/blocked");
            return false;
        }
        return true;
    }

    private boolean isBotAgent(String agent) {
        for (String bot : BOT_AGENTS) {
            if (agent.toLowerCase().contains(bot)) {
                return true;
            }
        }
        return false;
    }
}

Sử dụng CAPTCHA để Ngăn chặn Bot

Spring Boot cho phép tích hợp các thư viện CAPTCHA bên thứ ba như reCAPTCHA từ Google. CAPTCHA yêu cầu người dùng xác minh họ không phải là bot trước khi tiếp tục truy cập trang web. Ví dụ mã nguồn dưới đây minh họa việc thực hiện điều này:

@RestController
public class AuthController {

    @PostMapping("/signin")
    public String authenticate(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam("captcha") String captchaResponse) {
        if (validateCaptcha(captchaResponse)) {
            // Thực hiện logic đăng nhập
            return "Đăng nhập thành công";
        } else {
            return "Xác minh CAPTCHA thất bại";
        }
    }

    private boolean validateCaptcha(String captcha) {
        // Gọi API của reCAPTCHA để xác minh phản hồi
        return true;
    }
}

Hạn chế Tần suất và Truy cập Đồng thời

Chúng ta có thể sử dụng thuật toán Token Bucket để hạn chế tần suất yêu cầu từ mỗi địa chỉ IP. Thuật toán này đặt giới hạn cố định về tốc độ yêu cầu. Dưới đây là ví dụ mã nguồn đã chỉnh sửa:

@Configuration
public class ThrottleConfig {

    @Bean
    public KeyResolver ipResolver() {
        return exchange -> Mono.just(exchange.getRequest().getRemoteAddress().getAddress().getHostAddress());
    }

    @Bean
    public RedisRateLimiter redisThrottler() {
        return new RedisRateLimiter(5, 10); // Giới hạn tối đa 5 yêu cầu/giây, tối đa 10 yêu cầu/phút
    }
}

Sử dụng Nội dung Tạo Động

Có thể sử dụng các template engine như Thymeleaf hoặc Freemarker để tạo nội dung động. Điều này khiến bot khó khăn hơn trong việc phân tích nội dung tĩnh. Ví dụ dưới đây minh họa cách thực hiện:

<html xmlns:th="http://www.thymeleaf.org">
<body>
    <h1 th:text="${headerText}">Chào mừng bạn!</h1>
    <p th:text="${bodyText}">Xin chào thế giới!</p>
</body>
</html>

@RestController
public class DynamicContentController {

    @GetMapping("/")
    public ModelAndView homePage() {
        ModelAndView modelAndView = new ModelAndView("home");
        modelAndView.addObject("headerText", "Chào mừng bạn!");
        modelAndView.addObject("bodyText", "Xin chào thế giới!");
        return modelAndView;
    }
}