yudaocode/ruoyi-vue-pro:限流保护实现方案
项目地址: https://gitcode.com/yudaocode/ruoyi-vue-pro 痛点:高并发场景下的系统保护难题
在分布式系统开发中,你是否遇到过这样的困境:
- 恶意用户通过脚本频繁调用接口,导致系统资源耗尽
- 突发流量冲击下,核心服务响应变慢甚至宕机
- 缺乏有效的流量控制机制,无法保障系统稳定性
- 不同业务场景需要差异化的限流策略
ruoyi-vue-pro 基于 Redisson 提供了完善的分布式限流解决方案,支持多种粒度的限流策略,帮助开发者轻松应对高并发挑战。
核心架构设计
限流组件关系图
技术栈组成
| 组件 | 技术 | 作用 |
|---|---|---|
| 限流注解 | Spring AOP | 声明式限流配置 |
| Redis存储 | Redisson | 分布式限流计数 |
| Key解析器 | SPI机制 | 多维度限流策略 |
| 异常处理 | 全局异常 | 统一限流响应 |
五种限流策略详解
1. 全局级别限流(DefaultRateLimiterKeyResolver)
@RateLimiter(
time = 1,
timeUnit = TimeUnit.SECONDS,
count = 100,
keyResolver = DefaultRateLimiterKeyResolver.class
)
public ApiResult<String> globalLimit() {
return success("全局限流测试");
}
适用场景:接口级别的全局流量控制,所有用户共享同一个限流桶。
2. 用户ID级别限流(UserRateLimiterKeyResolver)
@RateLimiter(
time = 60,
timeUnit = TimeUnit.SECONDS,
count = 10,
keyResolver = UserRateLimiterKeyResolver.class,
message = "操作过于频繁,请稍后再试"
)
public ApiResult<String> userLimit() {
return success("用户级别限流测试");
}
适用场景:防止单个用户频繁操作,如提交订单等。
3. IP地址级别限流(ClientIpRateLimiterKeyResolver)
@RateLimiter(
time = 10,
timeUnit = TimeUnit.SECONDS,
count = 5,
keyResolver = ClientIpRateLimiterKeyResolver.class
)
public ApiResult<String> ipLimit() {
return success("IP级别限流测试");
}
适用场景:防止恶意IP攻击、爬虫抓取等场景。
4. 服务器节点级别限流(ServerNodeRateLimiterKeyResolver)
@RateLimiter(
time = 1,
timeUnit = TimeUnit.MINUTES,
count = 1000,
keyResolver = ServerNodeRateLimiterKeyResolver.class
)
public ApiResult<String> nodeLimit() {
return success("节点级别限流测试");
}
适用场景:分布式环境下单个节点的资源保护。
5. 表达式级别限流(ExpressionRateLimiterKeyResolver)
@RateLimiter(
time = 30,
timeUnit = TimeUnit.SECONDS,
count = 3,
keyResolver = ExpressionRateLimiterKeyResolver.class,
keyArg = "#userId + ':' + #type"
)
public ApiResult<String> expressionLimit(@RequestParam Long userId,
@RequestParam String type) {
return success("表达式限流测试");
}
适用场景:复杂的业务场景,需要根据多个参数组合进行限流。
核心实现原理
Redisson 分布式限流算法
ruoyi-vue-pro 使用 Redisson 的 RRateLimiter 实现令牌桶算法:
public Boolean tryAcquire(String key, int count, int time, TimeUnit timeUnit) {
// 1. 获得 RRateLimiter,并设置 rate 速率
RRateLimiter rateLimiter = getRRateLimiter(key, count, time, timeUnit);
// 2. 尝试获取 1 个令牌
return rateLimiter.tryAcquire();
}
令牌桶算法优势:
- 允许突发流量:桶中有令牌时可以一次性处理多个请求
- 平滑限流:恒定速率生成令牌,避免流量尖峰
- 分布式一致性:基于 Redis 实现,保证集群环境下的限流准确性
AOP 切面拦截机制
@Before("@annotation(rateLimiter)")
public void beforePointCut(JoinPoint joinPoint, RateLimiter rateLimiter) {
// 获得 Key 解析器
RateLimiterKeyResolver keyResolver = keyResolvers.get(rateLimiter.keyResolver());
// 解析限流 Key
String key = keyResolver.resolver(joinPoint, rateLimiter);
// 尝试获取令牌
boolean success = rateLimiterRedisDAO.tryAcquire(key,
rateLimiter.count(), rateLimiter.time(), rateLimiter.timeUnit());
if (!success) {
throw new ServiceException(GlobalErrorCodeConstants.TOO_MANY_REQUESTS.getCode(),
StrUtil.blankToDefault(rateLimiter.message(),
GlobalErrorCodeConstants.TOO_MANY_REQUESTS.getMsg()));
}
}
配置与使用指南
1. 依赖配置
确保项目中包含限流保护 starter:
<dependency>
<groupId>cn.iocoder.boot</groupId>
<artifactId>yudao-spring-boot-starter-protection</artifactId>
</dependency>
2. Redis 配置
在 application.yml 中配置 Redis 连接:
spring:
redis:
host: 127.0.0.1
port: 6379
database: 0
timeout: 3000
3. 限流规则配置表
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| time | int | 1 | 时间窗口大小 |
| timeUnit | TimeUnit | SECONDS | 时间单位 |
| count | int | 100 | 时间窗口内允许的请求数 |
| message | String | "" | 限流时的提示信息 |
| keyResolver | Class | DefaultRateLimiterKeyResolver | Key解析器实现 |
| keyArg | String | "" | 表达式参数 |
4. 最佳实践示例
场景一:验证码发送防刷
@PostMapping("/captcha/send")
@RateLimiter(
time = 60,
timeUnit = TimeUnit.SECONDS,
count = 1,
keyResolver = UserRateLimiterKeyResolver.class,
message = "验证码发送过于频繁,请60秒后再试"
)
public ApiResult<Void> sendCaptcha(@RequestParam String mobile) {
captchaService.sendVerificationCode(mobile);
return success();
}
场景二:API接口防爬
@GetMapping("/data/list")
@RateLimiter(
time = 10,
timeUnit = TimeUnit.SECONDS,
count = 20,
keyResolver = ClientIpRateLimiterKeyResolver.class
)
public ApiResult<List<DataVO>> listData() {
return success(dataService.list());
}
场景三:抢购活动限流
@PostMapping("/seckill/{activityId}")
@RateLimiter(
time = 1,
timeUnit = TimeUnit.SECONDS,
count = 100,
keyResolver = DefaultRateLimiterKeyResolver.class
)
public ApiResult<Boolean> seckill(@PathVariable Long activityId) {
return success(seckillService.process(activityId));
}
性能优化建议
1. Redis Key 设计优化
// 原始Key格式:rate_limiter:{key}
private static final String RATE_LIMITER = "rate_limiter:%s";
// 优化建议:添加业务前缀
private static final String RATE_LIMITER = "biz:rate_limiter:%s";
2. 限流粒度选择策略
| 场景 | 推荐粒度 | 优点 | 缺点 |
|---|---|---|---|
| 防刷 | 用户级别 | 精准控制单个用户行为 | Redis Key 数量多 |
| 防爬 | IP级别 | 有效阻止恶意IP | 可能误伤正常用户 |
| 系统保护 | 全局级别 | 实现简单,资源消耗少 | 不够精细化 |
3. 监控与告警集成
// 在限流切面中添加监控指标
@Before("@annotation(rateLimiter)")
public void beforePointCut(JoinPoint joinPoint, RateLimiter rateLimiter) {
// 限流逻辑...
// 监控记录
Metrics.counter("rate_limiter_requests_total",
"method", joinPoint.getSignature().getName(),
"keyResolver", rateLimiter.keyResolver().getSimpleName())
.increment();
if (!success) {
Metrics.counter("rate_limiter_rejected_total",
"method", joinPoint.getSignature().getName())
.increment();
}
}
常见问题解决方案
Q1: 限流不生效怎么办?
排查步骤:
- 检查 Redis 连接是否正常
- 确认 @RateLimiter 注解是否正确添加
- 验证 keyResolver 配置是否正确
Q2: 分布式环境下限流不准?
解决方案:
- 确保所有节点时间同步
- 使用 NTP 时间同步服务
- 考虑使用 Redis Cluster 模式
Q3: 限流Key冲突问题?
处理方案:
// 在自定义Key解析器中添加命名空间
public String resolver(JoinPoint joinPoint, RateLimiter rateLimiter) {
return "biz:" + System.currentTimeMillis() / 1000 + ":" + originalKey;
}
总结与展望
ruoyi-vue-pro 的限流保护方案提供了从注解声明到分布式实现的完整解决方案:
核心价值:
- 🚀 开箱即用:简单注解配置,快速集成
- 🔧 灵活策略:支持5种粒度限流,满足不同场景
- 🌐 分布式支持:基于 Redis 实现集群限流
- 📊 监控就绪:易于集成监控系统
未来演进方向:
- 支持动态规则配置,无需重启应用
- 集成熔断降级功能,形成完整保护体系
- 提供可视化限流配置界面
- 支持更多限流算法(漏桶、滑动窗口等)
通过本文的详细解析,相信你已经掌握了 ruoyi-vue-pro 限流保护方案的精髓。在实际项目中,根据业务特点选择合适的限流策略,可以有效提升系统的稳定性和安全性。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
