Java后端实战:SpringBoot接口遇袭后,用轻量WAF兼顾安全与性能作为负责公司核心业务的Java后端开发,去年维护SpringBoot项目时,遇到了一次印象深刻的接口攻击:订单查询接口的响应延迟从正常的50ms突然涨到800ms,数据库连接池频繁耗尽,甚至有用户反馈订单数据查不出来。翻日志才发现,大量带异常参数的请求和高频爬虫访问一直在冲击接口,而我们之前只靠Spring Security做了基础权限校验,对这种应用层的风险根本拦不住。试了好几种方案,最后用雷池轻量WAF解决了问题,还意外优化了接口性能。今天把这次实战的过程分享出来,给同行们避避坑。