API限流-利用Redis限制API在X分钟内的调用次数

最新推荐文章于 2023-08-19 21:31:37 发布
最新推荐文章于 2023-08-19 21:31:37 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: Java redis 文章标签: java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MasterAjoe/article/details/118493009
版权
Java 同时被 2 个专栏收录
15 篇文章 0 订阅
订阅专栏
redis
8 篇文章 0 订阅
订阅专栏
该博客介绍了一种使用Redis进行API调用频率限制的策略,通过结合IP和API地址创建key,并利用Redis的分布式锁和过期时间功能,防止爬虫或恶意请求耗尽服务器资源。在Java环境中,通过自定义注解和拦截器实现限制,对每个用户的API访问次数和时间间隔进行控制,当达到预设阈值时,会锁定该用户对该API的访问一段时间。
摘要由CSDN通过智能技术生成
背景

在对外开放我们的API的时候,有时候API调用不一定是来自于我们的APP或者网站。若是一个资源网站,极有可能会遇到爬虫来盗刷我们的数据。导致短时间内API的调用猛增,耗费服务器资源。因此需要在某些需要查数据库、文件等的API处,增加API调用频率限制。

我的思路

某API 1分钟内调用次数限制思路 ---- 利用redis进行限流。
若是负载均衡的api,则在进行判断的时候,要用redis提供的分布式锁setnx进行互斥执行以下步骤
假设API的地址为: /api/resource/list

redis中的数据结构
keyvalue过期时间备注
10.200.120.3:/api/resource/list2021062315:40:23#153min-----正常记录1分钟内api调用次数及上次调用的时间
10.200.120.3:/api/resource/listlocked3minapi访问频率达到限制时,限制IP对api的访问,限制时间为3min

key: 由IP+API地址构成,表明哪个IP正在访问哪个api
value: 由上次访问时间+累计访问次数构成

操作流程说明
  1. IP为10.200.120.3的客户端每次访问/api/resource/list时,首先从redis中取出key= 10.200.120.3:/api/resource/list 的值value
  2. 判断value是否等于locked,如果value=locked,跳转到第3步,如果value为空,则跳转到第4步,否则跳转到第5步
  3. 返回错误代码,提示1分钟内访问api次数超过60次,请稍后再试
  4. 在redis中新增key=10.200.120.3:/api/resource/list value= 2021062315:40:23#1,设置过期时间为3min,并调用api返回结果到调用者
  5. 判断当前api调用时间与value中的时间差值diff是否小于1分钟,若大于等于1分钟,则跳转到第6步,否则跳转到第7步
  6. 更新redis中,key=10.200.120.3:/api/resource/list value= 2021062315:42:23#1,设置超时时间为3min,并调用API返回结果到调用者
  7. 若调用时间差小于1分钟,则判断value中的调用次数是否小于60次,若大于等于60次,则跳转到第8步,否则跳转到第9步
  8. 更新redis中,key=10.200.120.3:/api/resource/list value= locked,并且更新过期时间为3min返回错误代码,提示1分钟内访问api次数超过60次,请稍后再试
  9. 若1分钟内调用次数少于60次,则更新redis中,key=10.200.120.3:/api/resource/list value= 2021062315:42:58#13,设置过期时间为3min,并调用api返回结果到调用者

redis 设置某个key的超时时间后,若后续key的值发生改变,重新set key value时,会删除之前的key value 以及连带的超时时间。所以,如果更新key的值后,还需要有超时时间,最好重新设置一次。

Java代码实现思路
  1. 自定义一个annotation。属性有count:调用次数 durationTime: 时间间隔,比如1分钟内,lockTime: API调用达到限制时,限制多少时长后可以访问其中关于time的,单位可自行定义为秒,或分钟
  2. 在需要做调用限制的方法上面,添加你自定义的注解。并注入对应的属性值
  3. 编写拦截器,拦截 ”/“ 开头的或者你自定义的路由前缀,例如拦截: /rest/rsource/**等。
  4. 进入拦截方法后,判断当前拦截的方法上面是否有自定义的注解,若没有,则步进行后续处理
  5. 若方法定义了注解,则取出注解中定义的各个属性,count、durationTime、lockTime,按照上面的限制思路进行判断,即可。
目前实现的效果
自定义注解
/**
 * @author CoreCmd
 * @date 2021/7/5
 * @apiNote 在durationTime时间内,对某api的访问次数达到maxCount时,将被禁止访问lockTime时间,时间单位为:timeUnit
 */
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@Documented
@Inherited
public @interface AccessLimitAnnotation {
    //请求次数限制数量
    int maxCount() default 60;
    //请求间隔时间
    int durationTime() default 1;
    //锁定访问时间
    int lockTime() default 3;
    TimeUnit timeUnit() default TimeUnit.MINUTES;
}

使用方式:在需要访问限制的接口上,加上注解: @AccessLimitAnnotation

 @ApiOperation(value = "获取定时任务类列表")
    @GetMapping(value = "/list/job-beans")
    @ApiImplicitParams({
            @ApiImplicitParam(paramType = "header",name = "authToken", value = "登录token", required = true, dataType = "String")
    })
    @AccessLimitAnnotation
    public CustomResponse listJobBeans(@RequestHeader(value = "authToken")String authToken){
        CustomResponse customResponse = null;
        try {
            customResponse = CustomResponse.ok();
            customResponse.put("jobBeans",myApplicationListener.getJobDefinitions());
        } catch (Exception e){
            log.info("获取定时任务类列表异常",e);
            customResponse = CustomResponse.error("获取定时任务类列表异常,请联系管理员");
        }
        return customResponse;
    }
自定义拦截器进行api拦截

在实际使用中,key的组成,我换成了token+api的方式,针对某个用户进行限制,不针对IP限制,后续有需要再自行改动。

//校验权限
        if(handler instanceof HandlerMethod) {
            AccessLimitAnnotation accessLimitAnnotation = ((HandlerMethod) handler).getMethodAnnotation(AccessLimitAnnotation.class);
            if (null != accessLimitAnnotation){
                int maxCount = accessLimitAnnotation.maxCount();
                int durationTime = accessLimitAnnotation.durationTime();
                int lockTime = accessLimitAnnotation.lockTime();
                TimeUnit timeUnit = accessLimitAnnotation.timeUnit();
                String reqPath = request.getRequestURI();
                String accessLimitCheckKey = authToken + ":"+ URLEncoder.encode(reqPath,"utf-8");
                String accessInfo = redisTemplate.opsForValue().get(accessLimitCheckKey);
                if (null != accessInfo){
                    if ("locked".equalsIgnoreCase(accessInfo)){
                        isAccessAllowed = false;
                    } else {
                        String []accessTimeAndCount =  accessInfo.split("#");
                        Date lastAccessTime = sdf.parse(accessTimeAndCount[0]);
                        Date nowDate = new Date();
                        int accessCount = Integer.parseInt(accessTimeAndCount[1]);
                        long diff = nowDate.getTime() - lastAccessTime.getTime();
                        long nd = 1000 * 24 * 60 * 60;
                        long nh = 1000 * 60 * 60;
                        long nm = 1000 * 60;
                        long min = diff % nd % nh / nm;
                        if (min >= durationTime){
                            redisTemplate.opsForValue().set(accessLimitCheckKey,sdf.format(nowDate)+"#"+1,lockTime,timeUnit);
                        } else if (accessCount >= maxCount){
                            redisTemplate.opsForValue().set(accessLimitCheckKey,"locked",lockTime,timeUnit);
                            isAccessAllowed = false;
                        } else {
                            redisTemplate.opsForValue().set(accessLimitCheckKey,sdf.format(nowDate) + "#"+(accessCount + 1),lockTime,timeUnit);
                        }
                    }
                } else {
                    redisTemplate.opsForValue().set(accessLimitCheckKey,sdf.format(new Date())+"#"+1,lockTime,timeUnit);
                }
            }
访问效果:

在这里插入图片描述

CoreCmd
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java通过Redis计数器方式限制用户访问Api频率
weixin_45736927
03-11 5988
候我们需要限制一个API访问的频率,例如单用户一分钟之内只能访问多少次。 类似于这样的需求很容易用Redis来实现。 @Log("Api接口每分钟访问次数限制") @AuthIgnore @PostMapping("getImpose") public String getImpose(String name) { String data=""; String num=(Str...
接口安全与限制调用次数
weixin_62878398的博客
04-12 233
/ token 存redis 1库。
API调用次数限制实现
热门推荐
chenglinhust的专栏
05-21 2万+
API调用次数限制实现 参考资料:     1. https://zhuanlan.zhihu.com/p/20872901?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io Token BucketRedis IncrRedis EvalBetter Rate Limiting Wit
java使用redis接口访问频率限制
zhuyangguang0101的博客
12-21 3333
本文使用AOP与redis进行接口的访问频率限制,两个功能,可以限制两次接口访问间隔时间与几分钟内访问几次,比如,某接口3分钟内同一用户不能超过10次,并且两次访问间隔不能低于10S。废话不多说,上代码。 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented /** * one minutes request frequency is Fifty times, exceeding the wait fiv
API接口-假定时间限制访问次数-限频率
牧风人的博客
11-15 3051
API接口-假定时间限制访问次数-限频率 在实际项目中,往往需要对一些公开的接口进行限制一定时间内的访问次数,避免他人的恶意攻击占用系统资源。 方案:设置拦截器,每次访问记录ip地址+访问URL作为key,使用redis按key查询是否有访问记录。如果未有访问redis记录,redis记录这次访问,如果redis查询到有访问次数,比较系统限制次数是否大于现在访问次数,大于则放行,小于等于则拒绝。(redis存储带过期时间,过期后自动清除) String key = IpU
Redis应用之限制访问频率
竹林幽深
04-21 535
德鲁小哥发表于浙江作者:波波烤鸭转载:https://dpb-bobokaoya-sm.blog.csdn.net/article/details/88614116我们知道当网站的访问量突然很大的候肯定会对服务器造成影响,甚至无法访问,如果是正常的访问那么很好说明业务量增大可以考虑系统的扩展,但是如果是搜索引擎爬虫频繁访问或是一些恶意访问,那这候我们就应该限制这些访问的访问次数redis刚好可以解决这个问题。
redis-限制访问频率
qq_32640013的博客
07-31 282
文章目录redis-限制访问频率设置过期时间(有缺陷)list队列 redis-限制访问频率 ​ 限制用户1分钟最多访问100次页面。 设置过期时间(有缺陷) ​ 设置key值不超过100次,过期时间为60s。 流程图 缺陷 ​ 不能再任意1分钟内,限制范围频率小于100次 list队列 ​ 设置队列中的元素不能超过100个,小于等于100个,元素尾入队。大于100个,判断此与队首元素入队...
Springboot使用redis进行api防刷限流过程详解
08-25
在本文中,我们将深入探讨如何利用 Redis 的存储特性以及 Spring Boot 的强大框架支持来构建一个高效的 API 限流系统。 ### 1. 限流需求与场景 API 限流的主要目的是保护服务的稳定性和资源的有效利用,防止恶意或...
API 调用次数限制实现
07-03
API 调用次数限制实现可以通过多种方法来实现,例如使用 Redis 的 INCR 命令来实现简单的限流机制。但是,这种方法存在一些缺陷,例如用户可以在一个时间段的末尾发起 Q 次请求,然后在下一个时间段的开始又发起 Q ...
spring-boot-整合redis
最新发布
03-08
4. **限流**:限制用户对某个 API调用频率,防止过度请求导致系统过载。 #### 五、Spring Boot 整合 Redis 步骤 ##### 1. 添加依赖 要在 Spring Boot 项目中集成 Redis,首先需要在构建文件(如 `pom.xml` 或 ...
php使用lua+redis实现限流,计数器模式,令牌桶模式
10-17
在高并发的Web服务中,限流是一种重要的策略,用于保护系统免受过多请求的冲击,维持服务的稳定性和可用性。PHP作为常见的服务器端脚本语言,可以借助外部工具如Redis和Lua来实现限流。本文将详细介绍如何利用PHP、...
SpringBoot如何使用AOP+Redis实现接口限流实现全过程(值得珍藏)
01-21
} } } } 3.5 拦截接口 在需要限流的接口上添加 @Aspect 和 @Around 注解,调用之前创建的 Redis 限流器进行限流检查:@RestController @RequestMapping("/api") public class MyController { @Autowired private ...
Redis实现限流的三种方式
zhangjie602的博客
09-17 9491
限流Redis,令牌桶,滑动窗口,固定窗口,接口
API 接口防刷(接口请求次数限制
仰望-星空~~的博客
08-19 1442
创建自定义的注解请求限制的自定义注解@Target 注解可修饰的对象范围,ElementType.METHOD 作用于方法,ElementType.TYPE 作用于类(ElementType)取值有:1.CONSTRUCTOR:用于描述构造器2.FIELD:用于描述域3.LOCAL_VARIABLE:用于描述局部变量4.METHOD:用于描述方法5.PACKAGE:用于描述包6.PARAMETER:用于描述参数7.TYPE:用于描述类、接口(包括注解类型) 或enum声明。
接口超分析
Record_Algorithm
01-18 3609
1000个请求过来,去请求该API接口,这样会导致tomcat线程池很快被占满,导致整个服务暂不可用,至少新的请求过来,是没法即使响应的。如果用户请求量突然增多,超出了1秒10M的上限,比如:1秒100M,而服务器带宽本身1秒就只能传输10M,这样会导致在这1秒内,90M数据就会延迟传输的情况,从而导致接口超的发生。所以第三方这种根据日期查询增量数据的接口,建议做成分页查询的,不然后面没准哪一天,遇到批量更新的操作,就可能出现接口超的问题。有候传入参数1,sql语句走了索引a,执行时间很快。
基于redis 的一个简单的访问频率控制
金戈铁马
07-09 480
思路: 1 某IP地址每分钟的访问次数记录 以IP+当前分钟为key 在redis 中记录某个IP的调用次数,缓存过期时间为60缓。 2 限制调用 如果[1]的值超过阈值,则在redis中写入 ip+limited 为key的一个键值对,缓存过期时间即是不允许API再被这个IP调用时间,比如100秒。 当API调用候,判断redis中是否存在 ip+limited的这个键值对,如果存,返回频率受限的错误码。 伪代码: bool isLimted(String ip) {
Java后端防止接口被同一个账号在同一台设备短时间内重复调用的一种解决方案
weixin_42023666的博客
09-27 7611
对于前后端分离的项目,后端人员通常都要对发起请求的用户的合法性和权限进行审核(比如用户每次请求都要携带token,token校验通过的才放行),只要审核通过了,基本上都允许用户的后续操作。可是这样就安全了吗?任何一个在后端开发浸淫多年的人,都会不知不觉间往数据安全方面倾注更多的精力。笔者作为某小公司中的唯一后端开发,在数据安全这块也是操碎了心的,先是重构了登录注册接口,防止用户账号密...
第 14 篇:限制接口的访问频率
HelloGitHub 的博客
07-31 2443
作者:HelloGitHub-追梦人物[1]限流,顾名思义,就是限制API调用频率。每一次 API 调用,都要花费服务器的资源,因此很多 API 不会对用户无限次地开放,请求达到...
redis怎样实现限流控制
04-02
Redis可以通过以下方式实现限流控制: 1. 使用Redis限流工具:Redis官方提供了一些限流工具,如Redis Rate Limiter和Redis Cell,可以用于限制API调用次数、流量和请求速度等。这些工具基于令牌桶算法和漏桶算法实现。 2. 使用Redis的计数器和过期时间:可以将每个API调用的请求次数记录在Redis中,然后根据设定的时间窗口和允许的请求数量,判断是否允许该请求继续执行。这种方法需要在Redis中设置计数器和过期时间,同需要考虑并发请求的问题。 3. 使用Lua脚本:Redis支持Lua脚本,可以通过编写Lua脚本实现限流控制。例如,可以使用Lua脚本从Redis中获取令牌,如果令牌数量足够,则允许该请求继续执行,否则返回错误提示。这种方法需要考虑脚本的执行效率和并发请求的问题。 4. 使用Redis库:有一些第三方Redis库,如redis-limiter和redis-ratelimiter,可以帮助实现限流控制。这些库提供了简单易用的接口和默认的算法,可以快速实现限流控制功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值