基于Spring Security添加流控

已于 2024-06-05 21:27:57 修改
阅读量632 收藏 7
点赞数 8
文章标签: spring java
于 2024-05-31 22:30:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pumpkin84514/article/details/139362583
版权

基于Spring Security添加流控的过程:

步骤1: 添加依赖

确保项目中包含了Spring Security和Sentinel-Core的相关依赖。在Maven项目中,可以在pom.xml中添加如下依赖:

<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!-- Sentinel-Core -->
<dependency>
    <groupId>com.alibaba.csp</groupId>
    <artifactId>sentinel-core</artifactId>
    <version>1.8.6</version> <!-- 根据最新版本调整 -->
</dependency>

步骤2: 初始化Sentinel配置

创建一个配置类来初始化Sentinel,并加载流控规则。使用@Configuration注解标记此配置类,并通过@PostConstruct注解的方法来确保在应用启动时执行初始化逻辑。FlowRule不支持通配符

import com.alibaba.csp.sentinel.init.InitFunc;
import com.alibaba.csp.sentinel.slots.block.flow.FlowRule;
import com.alibaba.csp.sentinel.slots.block.flow.FlowRuleManager;
import org.springframework.context.annotation.Configuration;

import java.util.ArrayList;
import java.util.List;

@Configuration
public class SentinelConfig implements InitFunc {

    @Override
    public void init() throws Exception {
        loadFlowRules();
    }

    @PostConstruct
    public void loadFlowRules() {
        List<FlowRule> rules = new ArrayList<>();
        
        // 通用限流规则
        FlowRule generalRule = new FlowRule("/abc")
                .setCount(100) // 一般接口的限流阈值
                .setGrade(FlowRule.Grade.QPS)
                .setControlBehavior(FlowRule.ControlBehavior.DEFAULT);
        rules.add(generalRule);

        // 白名单URL的特殊流控规则,假设允许较高流量
        FlowRule whitelistRule = new FlowRule("/api/public/bcd")
                .setCount(1000) // 较宽松的限流阈值
                .setGrade(FlowRule.Grade.QPS)
                .setControlBehavior(FlowRule.ControlBehavior.DEFAULT);
        rules.add(whitelistRule);

        FlowRuleManager.loadRules(rules);
    }
}

步骤3: 创建Sentinel过滤器

创建一个自定义过滤器,用于在请求处理前执行Sentinel的流量控制检查。

import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class SentinelSecurityFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String uri = request.getRequestURI();

        // 使用Sentinel进行流量控制检查
        Entry entry = null;
        try {
            entry = SphU.entry(uri);
            filterChain.doFilter(request, response);
        } catch (BlockException e) {
            response.setStatus(HttpServletResponse.SC_TOO_MANY_REQUESTS);
            response.getWriter().write("Too many requests.");
        } finally {
            if (entry != null) {
                entry.exit();
            }
        }
    }
}

步骤4: 集成到Spring Security

在Spring Security的配置中注册Sentinel过滤器,并配置安全规则。假设您已经有了一个Spring Security的配置类,如果没有,创建一个。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SentinelSecurityFilter sentinelSecurityFilter() {
        return new SentinelSecurityFilter();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable()) // 如果不需要CSRF保护,可以关闭
            .authorizeRequests(authz -> authz
                .antMatchers("/api/public/**").permitAll() // 白名单URL允许匿名访问
                .anyRequest().authenticated() // 其他请求需要认证
            )
            .addFilterBefore(sentinelSecurityFilter(), UsernamePasswordAuthenticationFilter.class) // Sentinel过滤器在JWT验证之前
            .formLogin(form -> form.disable()) // 禁用表单登录,根据需要调整
            .httpBasic(withDefaults()); // 或者根据需要配置HTTP Basic认证等
        return http.build();
    }
}

总结

  1. 添加依赖:引入Spring Security和Sentinel-Core的依赖。
  2. 配置Sentinel:通过@Configuration类初始化Sentinel并加载流控规则。
  3. 创建Sentinel过滤器:自定义过滤器实现流量控制。
  4. 集成Spring Security:配置类中注册过滤器并定义安全策略。

按照上述步骤,您可以基于Spring Security应用集成Sentinel-Core,实现流量控制,同时对白名单URL实施特殊处理。

pumpkin84514
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
如何基于spring security实现在线用户统计
08-19
在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 Spring Security 概述 Spring Security 是一...
Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战
有来技术
07-04 3554
Spring Security OAuth2 默认实现的四种授权模式在实际的应用场景中往往满足不了预期,如以下需求:相信你会遇到但不仅限上面的场景,网上也有很多对 Spring Security OAuth2 授权模式扩展的相关文章,但多少有不全面和实现复杂的通病,一度会让你觉得 Spring Security OAuth2 很难, Spring 在实现核心功能基础上同时还提供了很多的扩展点,Spring Security OAuth2 亦是如此,相信这篇文章会帮助消除它很难的误解。......
Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现统一认证授权和网关鉴权
有来技术
07-03 6191
本篇基于 Spring Cloud & Alibaba + OAuth2 微服务技术栈实现认证服务器认证授权和网关(代理资源服务器)统一鉴权的总结文档。
基于 Spring Boot 和 Spring Cloud 实现微服务架构
勇往直前的专栏
11-04 2616
前言 首先,最想说的是,当你要学习一套最新的技术时,官网的英文文档是学习的最佳渠道。因为网上流传的多数资料是官网翻译而来,很多描述的重点也都偏向于作者自身碰到的问题,这样就很容易让你理解和操作出现偏差,最开始我就进入了这样误区。官网的技术导读真的描述的很详细,虽然对于我们看英文很费劲,但如果英文不是很差,请选择沉下心去读,你一定能收获好多。 我的学习是先从Spring boot开始的,然后接触...
Demo:第三章:权限框架spring security oauth2
2401_84097774的博客
04-30 623
无论是哪家公司,都很重视基础,大厂更加重视技术的深度和广度,面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。针对以上面试技术点,我在这里也做一些分享,希望能更好的帮助到大家。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!error() {/**返回错误消息@param msg 返回内容@return 警告消息*//**返回错误消息。
基于Spring Boot和Spring Cloud实现微服务架构
xcbeyond|疯狂源自梦想,技术成就辉煌
09-16 396
|来源:龙果学院|链接:https://www.roncoo.com/article/detail/132858前言: 首先,最想说的是,当你要学习一套最新的技...
对基于Spring Cloud微服务化开发平台Cloud-Platform的大致理解
caishancai的博客
10-28 4027
对基于Spring Cloud微服务化开发平台Cloud-Platform的大致理解背景简介技术选型系统架构图项目结构后端工程启动前端服务说明ace-adminCloud - Platform执行过程 (后补)创建一个自定义列表新的甘特图功能,丰富你的文章UML 图表 背景 Spring Cloud因为在两年前在上一家公司有使用过,但是不是很深入。现在是自己第三家公司,又再一次和Spring Cloud结缘(坦诚的说,第二家公司技术确实也太老了,自己也太懒惰。所以,流行了这么久的Spring Cloud自己
基于Spring Boot和Spring Cloud实现微服务架构学习
wenjianfeng的专栏
05-13 271
看了几周spring相关框架的书籍和官方demo,是时候开始总结下这中间的学习感悟。 首先,最想说的是,当你要学习一套最新的技术时,官网的英文文档是学习的最佳渠道。因为网上流传的多数资料是官网翻译而来,很多描述的重点也都偏向于作者自身碰到的问题,这样就很容易让你理解和操作出现偏差,最开始我就进入了这样误区。官网的技术导读真的描述的很详细,虽然对于我们看英文很费劲,但如果英文不是很差,请选择沉下心...
基于SpringBoot和SpringCloud实现微服务架构
zhangsanjie888的专栏
09-30 448
Spring 顶级框架 SpringCloud 的子项目 什么是微服务? 怎么具体实现微服务 服务的应用 思考   Spring 顶级框架 spring IO platform 用于系统部署,是可集成的,构建现代化应用的版本平台,具体来说当你使用maven dependency引入spring jar包时它就在工作了。 Spring Boot 旨在简化创建产品级的 Spring 应...
基于spring security实现登录注销功能过程解析
08-25
基于Spring Security实现登录注销功能过程解析 基于Spring Security实现登录注销功能过程解析是指使用Spring Security框架来实现登录和注销功能的过程。该过程主要涉及到security配置、登录页面、登录成功和失败...
Spring Security在标准登录表单中添加一个额外的字段
08-26
Spring Security在标准登录表单中添加一个额外的字段 在本文中,我们将探讨如何在Spring Security的标准登录表单中添加一个额外的字段。我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
OAuth2.0 or Spring Session or 单点登录流程
最新发布
qq_53374893的博客
07-20 243
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
Spring3(代理模式 Spring1案例补充 Aop 面试题)
qq_52897007的博客
07-17 1174
为其他对象提供一种代理以控制对这个对象的访问。
springboot】中使用--WebMvcConfigurer
2201_75743716的博客
07-19 623
import com/*** 将请求参数字符串转为 DeviceInfo");} }/*** 将请求参数字符串转为 DeviceInfo");} }/*** 将请求参数字符串转为 DeviceInfo");import org/*** 将请求参数字符串转为 DeviceInfo");} }/**
基于SpringSecurity的登录
05-31
下面是基于 Spring Security 的登录步骤: 1. 添加 Spring Security 依赖和配置文件 首先,在 pom.xml 中添加 Spring Security 依赖: ``` <groupId>org.springframework.security <artifactId>spring-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值