秒杀抢购电商网站架构优化设计

合集下载

探秘电商秒杀抢购背后的IT架构

“ 双１１ ” 这个万众狂欢的节日，对于电商员工来
网团罾霸瓣
ＥａＥｔ●■ ■ｔ雄 ● ’｛■ ■ ｒ，Ｉ ■ — ■ ＊
—
盖自
… …
ｆ． ” ｉｊＦ《● 群％ ∞
， ■’！ ● ．．
㈣一
２０１６照
年一度的 “ 双１１ ”购物节除了造就无数的败家
买家外，“ 双１１ ” 也对各大电商平台的服务支撑提出了更高挑战。如何保证买家在购物过程中的流畅体验十分重要，再具｝生价比的商品在碰到网站无法响应时也会失去吸引力。因此，在各位买家开启Ｉ皿拼模式的同时，各大电商平台也严阵以待，为一年中最繁忙的
１０７
１
＝
《攀箍
一
通过青云的负载均衡器集群（ＬｏａｄＢａｌａｎｃｅｒＣｌｕｓｔｅｒ）可以将一个公网ＩＰ的流量，分散到多个负载均衡器节做并发处理，突破单负载均衡器节点的能力瓶颈，提供可扩展的转发带宽和ＨＴＴＰＳ卸载能
力。
２）电商用户在青云上的架构展示
式）：１０００００（１０￣ｆＱＰＳ）意味着１秒钟可以处理完
１．电商 “ 秒杀’ ’ 活动的业务特点
１）活动波峰波谷状态明显
１０万的请求，而 “ 秒杀”的那５ｗ／ｓ的 “ 秒杀” 似乎是

网购秒杀系统架构设计案例分析——《大型网站技术架构》笔记

⽹购秒杀系统架构设计案例分析——《⼤型⽹站技术架构》笔记⼀、核⼼思想：⽹站秒杀时的并发⽐正常运营时多的多，所以⽹站的秒杀业务不能使⽤正常的⽹站业务流程，也不能和正常的⽹站交易业务共⽤服务器（否则造成巨⼤浪费），必须设计部署专门的秒杀系统，进⾏专门应对⼆、技术挑战：1.对现有⽹站业务造成冲击：秒杀活动只是⽹站营销的⼀个附加活动，具有时间短，⾼并发的特点，如果和⽹站原有应⽤部署在⼀起，必然会对现有业务造成冲击，稍有不慎可能导致整个⽹站瘫痪2.⾼并发下的应⽤、数据库负载：⽤户在秒杀开始前，通过不停刷新页⾯以保证不错过秒杀，这些请求按照⼀般的⽹站应⽤架构，访问应⽤服务器、连接数据库，会对应⽤服务器和数据库服务器造成极⼤的负载压⼒3.突然增加的⽹络及服务器带宽：假设商品页⾯⼤⼩200K，最⼤并发请求数是10000，则需要⽹络和服务器带宽是2G（200K*10000），这些⽹络带宽是因为秒杀活动新增的，超过⽹站平时使⽤的带宽4.直接下单：下单页⾯也是⼀个普通URL，要防⽌⽤户在秒杀开始前访问这个URL（下单）三、应对策略：1.秒杀系统独⽴部署：避免⾼并发拖垮整个⽹站，还可使⽤独⽴域名使其与⽹站完全隔离，即使秒杀系统崩溃也不对⽹站造成任何影响2.秒杀商品页⾯静态化：秒杀商品页⾯不使⽤⽹站原本的商品详情页⾯，页⾯内容静态化，将商品描述、商品参数、成交记录和⽤户评价全部写⼊⼀个静态页⾯，⽤户请求不需要经过应⽤服务器的业务逻辑处理，也不需访问数据库。

所以秒杀商品服务不需要部署动态的Web服务器和数据库服务器3.租借秒杀活动⽹络带宽：秒杀新增的⽹络带宽，必须和运营商重新购买或租借。

为减轻⽹站服务器压⼒，需要将秒杀商品页⾯缓存在CDN，同样需要和CDN服务商临时租借新增的出⼝带宽4.动态⽣成随机下单页⾯URL：避免⽤户直接访问下单页⾯URL，在下单页⾯URL加⼊由服务器端⽣成的随机数作为参数，在秒杀开始的时候才能得到，即使秒杀系统的开发者也⽆法在秒杀开始前访问下单页⾯的URL。

电商平台中的秒杀活动优化研究

电商平台中的秒杀活动优化研究随着电商行业的蓬勃发展，各大电商平台为了吸引顾客，竞争格外激烈，各种促销活动层出不穷。

其中，秒杀活动是广受顾客欢迎的一种优惠方式。

因为它不仅可以推动销售，还可以增加平台的曝光度和用户忠诚度。

但是，对于电商平台来讲，秒杀活动也会带来不小的风险，如库存风险、系统故障等等。

因此，如何针对这些风险进行优化，提升秒杀活动效果是极其重要的。

一、如何确定秒杀时段在电商平台秒杀活动中，最重要的是秒杀的时段。

首先要考虑的是用户的购物习惯，因为不同用户在不同的时间段会有不同的活跃度。

所以，第一步就是分析各个用户在平台的浏览和购买习惯，并结合节日、品牌、新品等各种因素进行综合考虑，推出最适合的秒杀时段。

同时，也要对平台的流量进行分析，选择最佳时段进行推广，吸引更多的用户。

二、如何防范系统故障由于秒杀活动对服务器的要求比较高，容易引起访问量激增，增加系统崩溃和卡顿的风险。

为了防范系统故障，应当提前做好稳定性测试，并对系统进行优化。

一般来说，可以将用户访问流量分散到不同的服务器上，这样可以减轻服务器的负载压力，提高系统性能。

此外，也可以通过静态化、缓存、CDN等技术手段来加速访问速度，保证用户的顺畅体验。

三、如何防范虚假秒杀为了吸引消费者，一些不法商家往往会采用虚假秒杀的手段。

比如，先提高商品价格，然后再降价，宣传这种“秒杀”活动。

对此，要求电商平台在不同店铺之间进行监管和比较，防范虚假秒杀的发生。

此外，平台应该从技术上进行防范，如将秒杀商品与库存进行绑定、对用户的交易行为进行分析、及时发掘和处理虚假秒杀的行为等。

四、如何保证库存充足在秒杀活动中，对于库存的管理至关重要。

如果销售过快而库存告罄，将会给平台带来负面影响。

因此，电商平台在进行秒杀活动前，应该对商品的库存进行严格的管理和控制，及时更新库存，减少出现运营事故的概率，防止用户在购买时出现“售罄”的情况。

五、如何增加商品曝光度秒杀活动是电商平台吸引用户的重要促销方式，增加商品的曝光度是活动成功的关键。

电子商务平台的秒杀技巧与优化

电子商务平台的秒杀技巧与优化随着电商行业的迅猛发展，电商平台已经成为许多人购买商品的首选。

在这个过程中，抢购活动成为了一种时尚，而秒杀也因此变成了一种非常流行的电商销售模式。

但是，由于网络购物过程中客户流量太大，服务器崩溃、网站崩溃等问题经常出现，很多企业的秒杀活动收效甚微。

因此，一些电商平台通过技巧和优化，提高了其秒杀活动的效率和成功率。

下面我将从多方面为大家分析电商平台的秒杀技巧与优化。

一、网站性能优化秒杀活动的高效性取决于电商平台的网站性能优化。

高效处理数据请求和不断地准确响应是一个优化电商平台性能方案的关键。

比如，公司能够通过增加内存、降低缓存过期时间、增加CPU、增加带宽等方案，通过压力测试，来确保网站流畅运行。

请确保您的内存、带宽、CPU等配置满足操作的最低需求，以保证网站流畅运转。

二、小额购买为了避免一些亏损，一些电商平台采取小额购买的方式。

这种方式能够更好地约束客户，降低系统负载，提高交易效率。

同时，在使用小额购买时，也可以适当地提高购买人数和限制购买次数。

三、前置购买对于商品库存量不足的电商平台，前置购买可以让买家提前预订。

这样可以大大减少网站负载，降低网站崩溃风险，为后续秒杀活动打下良好基础。

但是，前置购买的成功会导致用户恶意抢购、系统崩溃、设备过热等问题。

四、使用CDN技术由于CDN技术可以在全球范围内快速地分发数据，所以对于需要大量流量和快速响应的电商平台，采用CDN技术是非常必要的。

在请求云端服务器分布式的接受用户，也是减轻了云端服务器的运行压力，提升了用户访问体验的关键。

五、准确的页面设计秒杀活动中的页面设计也非常重要。

整体风格、按钮大小、按钮颜色都会对页面的效率产生影响。

通常，页面设计者通过实验来测试页面设计对客户购买行为的影响，以达到最优化效果。

六、合理的时间安排合理的活动时间安排，可以避免产生管理困难和客户压力过大而导致的另一种问题。

如果活动时间过长或者活动数量过大，不仅会对平台流量产生难以预料的影响，而且会对整体活动的安排产生混乱。

电商秒杀系统性能优化实战

电商秒杀系统性能优化实战电商秒杀系统性能优化实战⼀、了解秒杀业务1、秒杀场景价格低、库存少、⾼并发、量少⼈多技术特点：短时⾼并发读多写少防⽌⽤户重复购买，也不能超卖哪些属于秒杀业务：电商平台抢购商品12306抢购会议室预定演唱会门票⼀线⽀援名额618⼤学⽣抢课2、秒杀的整体业务流程①创建秒杀活动⾸先有秒杀活动模块，创建秒杀活动模块时⼀定要看库存。

如果库存够，创建秒杀活动，创建秒杀活动时进⾏商品的预热，将商品放到redis缓存中，因为redis的QPS是mysql的百倍。

Mysql QBS⼀般是1000左右，redis是10W。

②⽤户开始抢购对⽤户进⾏鉴权，包括：1）拦截同⼀⽤户对商品的多次抢购。

活动id+⽤户id放到缓存⾥⾯维护。

2）机器防刷。

如果是第⼀次抢购，判断缓存中的商品是否被抢空。

没有被抢空，进⾏扣减库存。

③下单下单是异步下单，放到MQ，然后打到订单模块进⾏消费。

先⽣成订单号，返给前端界⾯，告诉你抢购成功，订单处理中，请耐⼼等待，前台进⾏轮询，查询是否下单成功，增加⽤户体验。

④其他业务1）通知⽤户下单成功⼀种是⽤户端界⾯轮询，⼀种是发邮件邮件发送订单消息可以异步发送，使⽤MQ。

不是这种强相关的业务都可以通过异步处理。

618要实时知道销售情况，使⽤Websoket长链接，实时监控情况，在⼤屏上展⽰。

后台主动向前端推。

2）⽤户超时⽀付主要是补偿库存和允许该⽤户继续下单。

④⽀付成功后发货⼆、秒杀的架构演变1、单体架构Manager 负责数据源选择，dao负责数据操作。

1）Tomcat⼀个请求打到tomcat后，tomcat去请求数据库，连接数据库肯定会有数据库连接池，连接池调优，多个⽤户请求tomcat，涉及到线程池。

Tomcat默认的线程池的数量是150，tomcat默认的最⼤连接数是1W。

如果占满还有等待数。

池化技术，可以资源复⽤、提⾼效率、可以降低创建和销毁的开销。

Tomcat调优，线程池参数2）MySQL优化，加索引、联合索引，数据库表不能有外键，⽤业务保证，数据库不能写存储过程。

秒杀抢购设计

秒杀抢购设计⼀、秒杀设计细节秒杀系统的⼏个细节：瞬间⾼并发、页⾯静态化、秒杀按钮、读多写少、缓存问题、库存问题、分布式锁、MQ异步处理、限流。

1、瞬间⾼并发⼀般在秒杀时间点前⼏分钟，⽤户并发量才真正突增，达到秒杀时间点时，并发量会达到顶峰。

⼀瞬间秒杀就会结束，之后⽤户并发量⼜会急剧下降，所以这个峰值持续的时间其实是⾮常短的，即瞬时⾼并发的情况。

对于瞬时⾼并发的场景，可以从以下⼏个⽅⾯⼊⼿： 1）页⾯静态化 2）CDN加速 3）缓存 4）MQ异步处理 5）限流 2、页⾯静态化活动页⾯是⽤户流量的第⼀⼊⼝，所以是并发量最⼤的地⽅如果这些流量都能直接访问服务端（即动态秒杀页⾯），恐怕服务端会因为承受不住那么⼤的压⼒，⽽直接挂掉活动页⾯绝⼤多数内容是固定的，⽐如：商品名称、商品描述、图⽚等。

为了减少不必要的服务端请求，通常情况下，会对活动页⾯做静态化处理。

⽤户浏览商品等常规操作，并不会请求到服务端。

只有到了秒杀时间点，并且⽤户主动点了秒杀按钮才允许访问服务端。

这样可以过滤掉⼤部分⽆效的请求。

只做页⾯静态化其实还不够，还需要使⽤CDN（内容分发⽹络），使⽤户可以就近最快访问到活动页⾯，降低⽹络拥塞，提⾼⽤户访问响应速度和命中率。

3、秒杀按钮秒杀开始前，秒杀按钮需要置灰不能点击，只有到了秒杀时间的那⼀时刻，秒杀按钮才会⾃动点亮，可以点击。

如何在静态页⾯中，控制秒杀按钮，只在秒杀时间点时才点亮呢？答案是：使⽤js⽂件控制。

为了性能考虑，⼀般会将css、js和图⽚等静态资源⽂件提前缓存到CDN上，让⽤户能够就近访问秒杀页⾯。

那么，CDN上的js⽂件是如何更新的呢？秒杀开始之前，js标志为false，还有另外⼀个随机参数。

当秒杀开始的时候系统会⽣成⼀个新的js⽂件，此时标志为true，并且随机参数⽣成⼀个新值，然后同步给CDN。

由于有了这个随机参数，CDN不会缓存数据，每次都能从CDN中获取最新的js代码。

关于秒杀的系统架构优化思路

关于秒杀的系统架构优化思路⼀、问题的提出秒杀或抢购活动⼀般会经过预约，下单，⽀付，扛不住的地⽅在于下单，⼀般会带来2个问题：1、⾼并发⽐较⽕热的秒杀在线⼈数都是10w起的，如此之⾼的在线⼈数对于⽹站架构从前到后都是⼀种考验。

2、超卖任何商品都会有数量上限，如何避免成功下订单买到商品的⼈数不超过商品数量的上限，这是每个抢购活动都要⾯临的难题。

秒杀系统难做的原因：库存只有⼀份，瞬间⼤量⽤户读和写这些数据。

例如⼩⽶⼿机每周⼆的秒杀，可能⼿机只有1万部，但瞬时进⼊的流量可能是⼏百⼏千万⼆、架构常见站点架构如下1）浏览器端，最上层，会执⾏到⼀些JS代码2）站点层，这⼀层会访问后端数据，返回数据给浏览器3）服务层，向上游屏蔽底层数据细节4）数据层，最终的库存是存在这⾥的三、优化思路1、将请求尽量拦截在上游：传统秒杀系统之所以挂，请求都压倒了后端数据层，数据库读写锁冲突严重，导致响应慢，下单基本不能成功2、利⽤缓存：这是⼀个典型的读多些少的应⽤场景，⾮常适合使⽤缓存四、优化细节1 、浏览器层请求拦截a）产品层⾯，⽤户点击“查询”或者“购票”后，按钮置灰，禁⽌⽤户重复提交请求b）js层⾯，限制⽤户在x秒之内只能提交⼀次请求可以拦截很多⽆效请求2、站点层请求拦截与页⾯缓存防⽌像服务器直接发送过多的恶意http请求a）同⼀个uid，限制访问频度，做页⾯缓存，x秒内到达站点层的请求，均返回同⼀页⾯b）同⼀个item的查询，例如⼿机车次，做页⾯缓存，x秒内到达站点层的请求，均返回同⼀页⾯可以拦截很多⽆效请求3、服务层请求拦截与数据缓存a）给过多的请求去数据库有什么意义呢？对于写请求，做请求队列，每次只透过有限的写请求去数据层，如果均成功再放下⼀批，如果库存不够则队列⾥的写请求全部返回“已售完b）对于读请求，cache来抗，⽤memcached or redis（10wqps）如此限流，只有⾮常少的写请求，和⾮常少的读缓存mis的请求会透到数据层去4、数据层闲庭信步到了数据这⼀层，⼏乎就没有什么请求了，库存是有限的，透过过多请求来数据库没有意义五、解决⽅案关于超卖，⾸先设定⼀个前提，为了防⽌超卖现象，所有减库存操作都需要进⾏⼀次减后检查，保证减完不能等于负数。

电商秒杀系统的设计与实现

电商秒杀系统的设计与实现⼀、电商秒杀系统的设计与实现1 秒杀系统的应⽤特征1 请求量⼤，请求⾼并发；2 ⽤户瞬间活跃量⾼，要求系统响应快；3 秒杀商品少，只有少数⽤户能够买到。

2 电商秒杀系统的设计设计架构采⽤分层架构，各层独⽴开发，独⽴部署在各层服务集群，应⽤层与服务层通过zookeeper进⾏分布式服务协作。

1 系统前端⽤ngix 做服务的负载均衡，前端应⽤层部署电商应⽤服务器集群，页⾯静态化⽣成html页⾯，并使⽤CDN内容加速器，提⾼⽤户响应速度，减轻前端压⼒。

2 服务层是定义数据层的db操作接⼝，起到应⽤层发现与使⽤数据层服务接⼝的功能。

3 后端采⽤zookeeper + 阿⾥double框架，数据层定义并实现DB操作接⼝，发布到zookeeper定义的服务列表中。

数据库采⽤mysql 集群，主从配置，读写分离的⽅式。

3 秒杀系统的实现。

秒杀开始时，把商品的库存数加⼊到redis缓存，⽤户下单请求到达应⽤层服务器，把请求加⼊到redis缓存，商品库存数减1，并把⽤户请求加⼊到消息队列中，当商品库存数是0的时候，系统直接对⽤户请求返回秒杀结束，进⼊抢购失败页⾯。

系统写个多线程去消息队列处理请求，⽣成订单，前端异步提⽰秒杀成功。

场景中的定时领取是⼀个⾼并发的业务，像秒杀活动⽤户会在到点的时间涌⼊，DB瞬间就接受到⼀记暴击，hold不住就会宕机，然后影响整个业务；像这种不是只有查询的操作并且会有⾼并发的插⼊或者更新数据的业务，前⾯提到的通⽤⽅案就⽆法⽀撑，并发的时候都是直接命中DB；设计这块业务的时候就会使⽤消息队列的，可以将参与⽤户的信息添加到消息队列中，然后再写个多线程程序去消耗队列，给队列中的⽤户发放红包；⽅案如：定时领取红包⼀般习惯使⽤redis的 list当⽤户参与活动，将⽤户参与信息push到队列中然后写个多线程程序去pop数据，进⾏发放红包的业务这样可以⽀持⾼并发下的⽤户可以正常的参与活动，并且避免数据库服务器宕机的危险4 秒杀系统独⽴部署由于秒杀系统的⾼并发请求，对系统资源消耗⼤，为防⽌对其他正常系统的影响，秒杀系统可独⽴部署在秒杀服务器。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

秒杀抢购电商网站架构优化设计一、大规模并发带来的挑战在过去的工作中，我曾经面对过5w每秒的高并发秒杀功能，在这个过程中，整个W e b系统遇到了很多的问题和挑战。

如果W e b系统不做针对性的优化，会轻而易举地陷入到异常状态。

我们现在一起来讨论下，优化的思路和方法哈。

1. 请求接口的合理设计一个秒杀或者抢购页面，通常分为2个部分，一个是静态的H T M L等内容，另一个就是参与秒杀的W e b后台请求接口。

通常静态H T M L等内容，是通过C D N的部署，一般压力不大，核心瓶颈实际上在后台请求接口上。

这个后端接口，必须能够支持高并发请求，同时，非常重要的一点，必须尽可能“快”，在最短的时间里返回用户的请求结果。

为了实现尽可能快这一点，接口的后端存储使用内存级别的操作会更好一点。

仍然直接面向M y S Q L之类的存储是不合适的，如果有这种复杂业务的需求，都建议采用异步写入。

当然，也有一些秒杀和抢购采用“滞后反馈”，就是说秒杀当下不知道结果，一段时间后才可以从页面中看到用户是否秒杀成功。

但是，这种属于“偷懒”行为，同时给用户的体验也不好，容易被用户认为是“暗箱操作”。

2.高并发的挑战：一定要“快”我们通常衡量一个W e b系统的吞吐率的指标是Q P S（Q u e r y P e r S e c o n d，每秒处理请求数），解决每秒数万次的高并发场景，这个指标非常关键。

举个例子，我们假设处理一个业务请求平均响应时间为100m s，同时，系统内有20台A p a c h e的W e b服务器，配置M a x C l i e n t s为500个（表示A p a c h e 的最大连接数目）。

那么，我们的W e b系统的理论峰值Q P S为（理想化的计算方式）：20*500/0.1=100000（10万Q P S）咦？我们的系统似乎很强大，1秒钟可以处理完10万的请求，5w/s的秒杀似乎是“纸老虎”哈。

实际情况，当然没有这么理想。

在高并发的实际场景下，机器都处于高负载的状态，在这个时候平均响应时间会被大大增加。

就W e b服务器而言，A p a c h e打开了越多的连接进程，C PU需要处理的上下文切换也越多，额外增加了C P U的消耗，然后就直接导致平均响应时间增加。

因此上述的M a x C l i e n t数目，要根据C P U、内存等硬件因素综合考虑，绝对不是越多越好。

可以通过A p a c h e自带的a b e n c h来测试一下，取一个合适的值。

然后，我们选择内存操作级别的存储的R e d i s，在高并发的状态下，存储的响应时间至关重要。

网络带宽虽然也是一个因素，不过，这种请求数据包一般比较小，一般很少成为请求的瓶颈。

负载均衡成为系统瓶颈的情况比较少，在这里不做讨论哈。

那么问题来了，假设我们的系统，在5w/s的高并发状态下，平均响应时间从100m s变为250m s（实际情况，甚至更多）：20*500/0.25=40000（4万Q P S）于是，我们的系统剩下了4w的Q P S，面对5w每秒的请求，中间相差了1w。

然后，这才是真正的恶梦开始。

举个例子，高速路口，1秒钟来5部车，每秒通过5部车，高速路口运作正常。

突然，这个路口1秒钟只能通过4部车，车流量仍然依旧，结果必定出现大塞车。

（5条车道忽然变成4条车道的感觉）同理，某一个秒内，20*500个可用连接进程都在满负荷工作中，却仍然有1万个新来请求，没有连接进程可用，系统陷入到异常状态也是预期之内。

其实在正常的非高并发的业务场景中，也有类似的情况出现，某个业务请求接口出现问题，响应时间极慢，将整个W e b请求响应时间拉得很长，逐渐将W e b 服务器的可用连接数占满，其他正常的业务请求，无连接进程可用。

更可怕的问题是，是用户的行为特点，系统越是不可用，用户的点击越频繁，恶性循环最终导致“雪崩”（其中一台W e b机器挂了，导致流量分散到其他正常工作的机器上，再导致正常的机器也挂，然后恶性循环），将整个W e b系统拖垮。

3. 重启与过载保护如果系统发生“雪崩”，贸然重启服务，是无法解决问题的。

最常见的现象是，启动起来后，立刻挂掉。

这个时候，最好在入口层将流量拒绝，然后再将重启。

如果是r e d i s/m e m c a c h e这种服务也挂了，重启的时候需要注意“预热”，并且很可能需要比较长的时间。

秒杀和抢购的场景，流量往往是超乎我们系统的准备和想象的。

这个时候，过载保护是必要的。

如果检测到系统满负载状态，拒绝请求也是一种保护措施。

在前端设置过滤是最简单的方式，但是，这种做法是被用户“千夫所指”的行为。

更合适一点的是，将过载保护设置在C G I入口层，快速将客户的直接请求返回。

二、作弊的手段：进攻与防守秒杀和抢购收到了“海量”的请求，实际上里面的水分是很大的。

不少用户，为了“抢“到商品，会使用“刷票工具”等类型的辅助工具，帮助他们发送尽可能多的请求到服务器。

还有一部分高级用户，制作强大的自动请求脚本。

这种做法的理由也很简单，就是在参与秒杀和抢购的请求中，自己的请求数目占比越多，成功的概率越高。

这些都是属于“作弊的手段”，不过，有“进攻”就有“防守”，这是一场没有硝烟的战斗哈。

1. 同一个账号，一次性发出多个请求部分用户通过浏览器的插件或者其他工具，在秒杀开始的时间里，以自己的账号，一次发送上百甚至更多的请求。

实际上，这样的用户破坏了秒杀和抢购的公平性。

这种请求在某些没有做数据安全处理的系统里，也可能造成另外一种破坏，导致某些判断条件被绕过。

例如一个简单的领取逻辑，先判断用户是否有参与记录，如果没有则领取成功，最后写入到参与记录中。

这是个非常简单的逻辑，但是，在高并发的场景下，存在深深的漏洞。

多个并发请求通过负载均衡服务器，分配到内网的多台W e b服务器，它们首先向存储发送查询请求，然后，在某个请求成功写入参与记录的时间差内，其他的请求获查询到的结果都是“没有参与记录”。

这里，就存在逻辑判断被绕过的风险。

应对方案：在程序入口处，一个账号只允许接受1个请求，其他请求过滤。

不仅解决了同一个账号，发送N个请求的问题，还保证了后续的逻辑流程的安全。

实现方案，可以通过R e d i s这种内存缓存服务，写入一个标志位（只允许1个请求写成功，结合w a t c h的乐观锁的特性），成功写入的则可以继续参加。

或者，自己实现一个服务，将同一个账号的请求放入一个队列中，处理完一个，再处理下一个。

2. 多个账号，一次性发送多个请求很多公司的账号注册功能，在发展早期几乎是没有限制的，很容易就可以注册很多个账号。

因此，也导致了出现了一些特殊的工作室，通过编写自动注册脚本，积累了一大批“僵尸账号”，数量庞大，几万甚至几十万的账号不等，专门做各种刷的行为（这就是微博中的“僵尸粉“的来源）。

举个例子，例如微博中有转发抽奖的活动，如果我们使用几万个“僵尸号”去混进去转发，这样就可以大大提升我们中奖的概率。

这种账号，使用在秒杀和抢购里，也是同一个道理。

例如，i P h o n e官网的抢购，火车票黄牛党。

应对方案：这种场景，可以通过检测指定机器I P请求频率就可以解决，如果发现某个IP 请求频率很高，可以给它弹出一个验证码或者直接禁止它的请求：1.弹出验证码，最核心的追求，就是分辨出真实用户。

因此，大家可能经常发现，网站弹出的验证码，有些是“鬼神乱舞”的样子，有时让我们根本无法看清。

他们这样做的原因，其实也是为了让验证码的图片不被轻易识别，因为强大的“自动脚本”可以通过图片识别里面的字符，然后让脚本自动填写验证码。

实际上，有一些非常创新的验证码，效果会比较好，例如给你一个简单问题让你回答，或者让你完成某些简单操作（例如百度贴吧的验证码）。

2.直接禁止I P，实际上是有些粗暴的，因为有些真实用户的网络场景恰好是同一出口I P的，可能会有“误伤“。

但是这一个做法简单高效，根据实际场景使用可以获得很好的效果。

3. 多个账号，不同IP发送不同请求所谓道高一尺，魔高一丈。

有进攻，就会有防守，永不休止。

这些“工作室”，发现你对单机I P请求频率有控制之后，他们也针对这种场景，想出了他们的“新进攻方案”，就是不断改变I P。

有同学会好奇，这些随机I P服务怎么来的。

有一些是某些机构自己占据一批独立I P，然后做成一个随机代理I P的服务，有偿提供给这些“工作室”使用。

还有一些更为黑暗一点的，就是通过木马黑掉普通用户的电脑，这个木马也不破坏用户电脑的正常运作，只做一件事情，就是转发I P包，普通用户的电脑被变成了I P代理出口。

通过这种做法，黑客就拿到了大量的独立I P，然后搭建为随机I P服务，就是为了挣钱。

应对方案：说实话，这种场景下的请求，和真实用户的行为，已经基本相同了，想做分辨很困难。

再做进一步的限制很容易“误伤“真实用户，这个时候，通常只能通过设置业务门槛高来限制这种请求了，或者通过账号行为的”数据挖掘“来提前清理掉它们。

僵尸账号也还是有一些共同特征的，例如账号很可能属于同一个号码段甚至是连号的，活跃度不高，等级低，资料不全等等。

根据这些特点，适当设置参与门槛，例如限制参与秒杀的账号等级。

通过这些业务手段，也是可以过滤掉一些僵尸号。

4. 火车票的抢购看到这里，同学们是否明白你为什么抢不到火车票？如果你只是老老实实地去抢票，真的很难。

通过多账号的方式，火车票的黄牛将很多车票的名额占据，部分强大的黄牛，在处理验证码方面，更是“技高一筹“。

高级的黄牛刷票时，在识别验证码的时候使用真实的人，中间搭建一个展示验证码图片的中转软件服务，真人浏览图片并填写下真实验证码，返回给中转软件。

对于这种方式，验证码的保护限制作用被废除了，目前也没有很好的解决方案。