SpringCloud + Redis 实现Api接口限流 防止恶意刷接口

最新推荐文章于 2024-06-12 10:48:06 发布
最新推荐文章于 2024-06-12 10:48:06 发布
阅读量579 收藏 10
点赞数 7
文章标签: spring cloud redis spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26383975/article/details/135555278
版权

一、API接口防刷

顾名思义,想让某个接口某个人在某段时间内只能请求N次。

二、原理

在请求的时候,服务器通过Redis记录你请求的次数,如果次数超过限制就不给访问。
在redis保存的key是有失效的,过期就会删除。

三、api限流的场景

限流的需求出现在许多常见的场景中:

  • 秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动
  • 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流
  • 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。

四、api限流代码实现

使用自定义注解的方式实现

1.添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
   <groupId>org.springframework.cloud</groupId>
   <artifactId>spring-cloud-starter-bootstrap</artifactId>
   <version>3.1.5</version>
</dependency>
<!--nacos 服务注册中心-->
<dependency>
   <groupId>com.alibaba.cloud</groupId>
   <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
   <version>2021.1</version>
</dependency>
<!--nacos 配置中心-->
<dependency>
   <groupId>com.alibaba.cloud</groupId>
   <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
   <version>2021.1</version>
</dependency>
<!--redis 依赖-->
<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

2.添加自定义AccessLimit注解

package com.example.demo.aop;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 自定义接口:api接口限流
 * @author qzz
 * @date 2024/1/11
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {
    /**
     * 时间间隔(单位秒)
     * @return
     */
    int seconds() default 60;

    /**
     * 最大访问次数
     * @return
     */
    int maxCount() default 60;

    /**
     * 是否需要登录
     * @return
     */
    boolean needLogin() default true;
}

3.添加AccessLimitIntercepter拦截器

自定义一个拦截器,请求之前,进行请求次数校验

package com.example.demo.intercepter;

import com.alibaba.fastjson.JSON;
import com.example.demo.aop.AccessLimit;
import com.example.demo.enums.CodeMsg;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.OutputStream;
import java.lang.reflect.Method;
import java.nio.charset.StandardCharsets;
import java.util.concurrent.TimeUnit;

/**
 * 限制访问拦截器
 * @author qzz
 * @date 2024/1/12
 */
@Slf4j
@Component
public class AccessLimitIntercepter implements HandlerInterceptor {
    private RedisTemplate<String,Object> redisTemplate;

    @Autowired
    public AccessLimitIntercepter(RedisTemplate<String,Object> redisTemplate){
        this.redisTemplate = redisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //方法请求拦截    Handler 是否为 HandlerMethod 实例
        if(handler instanceof HandlerMethod){
            HandlerMethod hm = (HandlerMethod) handler;

            // 获取方法
            Method method = hm.getMethod();
            // 是否有AccessLimit注解
            if (!method.isAnnotationPresent(AccessLimit.class)) {
                return true;
            }
            //获取方法中的AccessLimit注解
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if(accessLimit == null){
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean needLogin = accessLimit.needLogin();
            String key=request.getRequestURI();
            //判断是否登录
            if(needLogin){
                //获取登录的session进行判断
                //...
                //获取用户id
                Long userId = 1L;
                key+=userId;
            }
            //从redis中获取用户访问的次数
            Object count = redisTemplate.opsForValue().get(key);
            log.info("count:{}",count);
            if(count == null){
                //第一次访问
                redisTemplate.opsForValue().set(key,1, Long.valueOf(String.valueOf(seconds)), TimeUnit.SECONDS);
                log.info("--------------------------第一次访问--------------------------");
            }else if(count!=null && Integer.valueOf(String.valueOf(count)) < maxCount){
                //次数自增
                redisTemplate.opsForValue().increment(key,1);
                log.info("--------------------------次数自增--------------------------");
            }else{
                //超出访问次数
                render(response, CodeMsg.ACCESS_LIMIT_REACHED);
                return false;
            }
        }
        return true;
    }

    private void render(HttpServletResponse response, CodeMsg codeMsg) throws IOException {
        response.setContentType("application/json;charset=UTF-8");
        OutputStream outputStream = response.getOutputStream();
        String str = JSON.toJSONString(codeMsg);
        outputStream.write(str.getBytes(StandardCharsets.UTF_8));
        outputStream.flush();
        outputStream.close();
    }
}

拦截器写好了,但是还得添加注册

4.WebConfig配置类

如果是Springboot的版本是2.*,只需要实现WebMvcConfigurer,然后重写addInterceptors()方法,添加自定义拦截器即可。

如果是Springboot的版本是1.*,只需要实现WebMvcConfigurerAdapter,然后重写addInterceptors()方法,添加自定义拦截器即可。

我的版本是2.4.6,所以代码如下:

package com.example.demo.config;

import com.example.demo.intercepter.AccessLimitIntercepter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * @author qzz
 * @date 2024/1/12
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private AccessLimitIntercepter accessLimitIntercepter;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加拦截器
        registry.addInterceptor(accessLimitIntercepter);
    }
}

5.controller控制层测试接口

使用方式:在方法上使用注解@AccessLimit(seconds = 5, maxCount = 5, needLogin = true)

默认5秒内,每个接口只能请求5次

package com.example.demo.controller;

import com.example.demo.aop.AccessLimit;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 拦截器注册
 * @author qzz
 * @date 2024/1/11
 */
@RestController
public class TestController {

    @AccessLimit(seconds = 5, maxCount = 5, needLogin = true)
    @RequestMapping("test/api/limit")
    public String testApiLimit(){
        return "test api limit";
    }
}

五、完整代码

代码点击此处下载

12程序猿
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
16、SpringCloud -- 常见的接口防刷限流方式
Java 领域技术分享
10-30 339
SpringCloud -- 常见的接口防刷限流方式
使用SpringBoot+Redis实现API接口限流
mengxinxiaoyang的博客
07-04 398
限流是`流量限速(Rate Limit)`的简称,是指只允许指定的事件进入系统,超过的部分将被拒绝服务、排队或等待、降级等处理。 对于server服务而言,限流为了保证一部分的请求流量可以得到正常的响应,总好过全部的请求都不能得到响应,甚至导致系统雪崩。.........
SpringBoot框架篇】10.API接口限流实战
热门推荐
皓亮君的博客
05-21 1万+
文章目录简介限流算法漏桶算法令牌桶算法基于guava的RateLimiter实现引入依赖自定义注解自定义切面类编写web接口压测 简介 对接口限流的目的是通过对并发访问/请求进行限速,或者对一个时间窗口内的请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待、降级等处理 限流算法 常用的限流算法由:楼桶算法和令牌桶算法。 漏桶算法 漏桶(Leaky Bucket)算法思路很简单,水(请求)先进入到漏桶里,漏桶以一定的速度出水(接口有响应速率),当水流入速度过大会直接溢出(访问频率超过接口响应速
Api怎么实现限流负载
最新发布
weixin_44532539的博客
06-12 425
API 限流(Rate Limiting)是控制API请求频率的一种机制,用于保护系统免受过载攻击和确保公平资源分配。
API网关】如何对API进行限流
RestCloud 技术支持的博客
06-13 644
API网关可通过对限流的配置实现QPS、调用次数、最大链接、调用时段等,对API按照不同的维度进行限流、降级,保证重要的API可以正常执行。限速的规则支持多维度:如每秒并发、调用次数、最大链接数、调用时段的限制。在机器性能固定的情况,如何应对企业中API访问高并发的处理问题。1.打开API网关平台,点击安全设置,限流规则设置。3.把API添加进规则。
API 限流技术探索与实践
weixin_40794948的博客
08-01 1037
比如说,他可能希望针对不同的API配置不同的限流值,来保护它的后端。这类要求跟第一个需求不一样的是,它对于准确度要求相对是高的。因为它是用户自己的需求,它是用来保护后端,如果限流不准可能对后端会有额外的压力。第二,因为用户有的业务可能是会有流量激增的,所以我们在设计的时候也要考虑到这一点。这里我们用到的算法就是令牌桶,具体原因刚才也介绍到了,因为它能支持一定的流量突增,也能起到流量的平稳作用。第三类需求就是现在我们有。......
SpringBoot 接口访问频率限制(一)
04-01
除了手动实现外,Spring Cloud Gateway和Spring Cloud Zuul等微服务网关组件也提供了内置的限流功能,可以通过配置规则轻松地实现接口访问频率限制。 总结,Spring Boot中实现接口访问频率限制的方法多样,可以根据...
seckill-demo:springboot + redis电商秒杀系统
03-15
5. **负载均衡与限流**: 为了防止系统因高并发而崩溃,可以使用负载均衡器将请求分发到多个服务器,并利用RedisSpring Cloud Gateway进行流量控制,限制每秒请求数(QPS)。 6. **数据库设计**: 秒杀系统可能需要...
JAVA真实包装项目经验-物流项目面试
03-29
- **漏桶算法**:通过Nginx实现请求限流防止恶意攻击。 3. **服务网关**:通过Zuul服务网关进行请求过滤和路由分发,降低单一服务的压力。 4. **注册中心**:使用Nacos作为服务注册与发现中心,同时也可作为配置...
Java秒杀系统方案优化 高性能高并发实战
08-23
1. **限流策略**: - **令牌桶算法**:控制单位时间内进入系统的请求量,确保系统稳定运行。 - **漏桶算法**:平滑突发流量,避免瞬时高峰对系统造成冲击。 2. **预加载策略**: - 在秒杀活动开始前,预先加载...
基于 SpringBoot 的分布式秒杀系统.zip
02-01
基于 SpringBoot 的实现意味着开发者利用了 Spring 生态系统的优势,如 Spring Cloud 用于构建分布式系统,Spring Data JPA 或 MyBatis 进行数据访问,以及可能使用的 Redis 或 MongoDB 作为缓存来提升性能。...
保卫你的API:深入了解接口限流
todoitbo的博客
10-19 704
接口限流,滑动窗口算法,算法
PHP是如何对API进行限流
weixin_40736245的博客
10-28 648
PHP是如何对API进行限流的## 标题 什么是接口限流 那么什么是限流呢?顾名思义,限流就是限制流量,包括并发的流量和一定时间内的总流量,就像你宽带包了1个G的流量,用完了就没了,所以控制你的使用频率和单次使用的总消耗。 通过限流,我们可以很好地控制系统的qps,从而达到保护系统或者接口服务器稳定的目的。 接口限流的常用算法 计数器法 计数器法是限流算法里最简单也是最容易实现的一种算法。 比如我们规定,对于A接口来说,我们1分钟的访问次数不能超过100个。那么我们可以这么做:在一开始的时候,我们可以设置一
SpringCloud接口防刷技术ratelimit框架实现
m0_50831101的博客
04-07 661
SpringCloud接口防刷技术 导入依赖 <!--利用接口限流方式防刷:利用redis和ratelimit依赖已经帮我们完成了接口限流功能,只需要导入依赖--> <dependency> <groupId>com.marcosbarbero.cloud</groupId> <artifactId>spring-cloud-zuul-ratelimit</artifactId
优雅的接口防刷处理方案!
芋艿V
04-14 297
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
Springboot进阶:如何利用redis快速简单的实现全局接口限流
写点有用的
01-28 370
以上两种利用redis实现限流的方式基本能满足我们大部分的业务需要,对于部分要求限流粒度更高更准的业务,可以引入sentinel来满足业务需要。
一个基于用户的API限流策略 Rate Limit
摩登都市天空---专栏
09-20 4897
1. 限流场景 在开发高并发系统时,有很多种方法可用来保护系统:缓存、降级、限流等。 缓存:提升系统访问速度,增大系统处理能力 降级:服务出现问题或影响核心流程的性能时,需要暂时屏蔽,待高峰过去或问题解决后再打开 限流:部分场景比如:稀缺资源(秒杀,抢购)、写服务(评论、下单)、频繁复杂查询(评论最后几页)等,需要限制这些场景的并发/请求量 限流就是通过对并发访问/请求进行限速或一个时间窗...
(十七)ATP应用测试平台——Redis实现API接口访问限流(固定窗口限流算法)
厉害哥哥的博客
06-02 682
本节内容我们使用redis实现接口API的访问限流,这里提供spring的interceptor拦截器和aop切面俩种方式实现接口api的细粒度限流,根据实际情况,选择一种方式即可。说到限流我们前面已经介绍过在微服务中使用阿里巴巴的产品sentinel实现限流,sentinel是功能更加强大限流产品。本节内容我们是基于redis自身的一些特性实现限流,相对来说还是一种比较通俗易懂的实现限流方式
并发场景下,Spring Boot + Redis 实现接口限流防刷
06-09
在并发场景下,为了保证接口的可靠性和稳定性,我们可以使用 Redis实现接口限流防刷。 具体实现方法如下: 1. 首先,在 Spring Boot 项目中引入 Redis 相关的依赖,如 jedis、lettuce 等。 2. 在 Redis 中设置一个 key,用来记录请求次数或者时间戳等信息。 3. 在接口中加入拦截器,对请求进行拦截,并从 Redis 中获取相应的 key 值,判断是否达到限流防刷的条件。 4. 如果达到条件,可以返回一个自定义的错误码或者错误信息,或者直接拒绝请求。 5. 如果没有达到条件,则更新 Redis 中的 key 值,并放行请求。 下面是一个简单的示例代码: ```java @Component public class RateLimitInterceptor implements HandlerInterceptor { private final RedisTemplate<String, String> redisTemplate; @Autowired public RateLimitInterceptor(RedisTemplate<String, String> redisTemplate) { this.redisTemplate = redisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String key = request.getRemoteAddr(); String value = redisTemplate.opsForValue().get(key); if (value == null) { redisTemplate.opsForValue().set(key, "1", 60, TimeUnit.SECONDS); // 60秒内最多访问1次 } else { int count = Integer.parseInt(value); if (count >= 10) { // 10次以上就限流 response.sendError(HttpStatus.TOO_MANY_REQUESTS.value(), "Too many requests"); return false; } else { redisTemplate.opsForValue().increment(key); } } return true; } } ``` 在上面的代码中,我们使用 Redis 记录了每个 IP 地址的访问次数,并且在 60 秒内最多只能访问 1 次。如果访问次数超过了 10 次,则返回状态码 429(Too many requests)。 当然,这只是一个简单的示例,实际应用中我们可能需要更加复杂的限流策略和防刷机制,但是基本原理都是类似的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值