1、防刷限流实现1

最新推荐文章于 2024-02-24 09:30:00 发布
最新推荐文章于 2024-02-24 09:30:00 发布
阅读量586 收藏
点赞数
分类专栏: 防刷限流 文章标签: java redis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29216579/article/details/130517133
版权

1、本章诉求

限流的需求出现在许多常见的场景中:

  • 秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动
  • 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流

2、流程设计

在这里插入图片描述

3、方案实现

3.1、实现思路:

  • 通过ip:api路径的作为key,访问次数为value的方式对某一用户的某一请求进行唯一标识
  • 每次访问的时候判断key是否存在,是否count超过了限制的访问次数
  • 若访问超出限制,则应response返回msg:请求过于频繁给前端予以展示

3.2、编码实现

技术要点:redis、自定义注解、拦截器

application.yml

server:
  port: 8080

spring:
  redis:
    database: 0
    host: 127.0.0.1
    port: 6379
    timeout: 30000ms
    lettuce:
      pool:
        max-active: 8
        max-idle: 8
        max-wait: 500ms
        min-idle: 0

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.6.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>coderhome-access-limit</artifactId>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- spring data redis -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!-- spring2.X集成redis所需common-pool2-->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-pool2</artifactId>
            <version>2.6.0</version>
        </dependency>
    </dependencies>

</project>

启动类WebApplication

package club.coderhome;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class WebApplication {

    public static void main(String[] args) {
        SpringApplication.run(WebApplication.class, args);
    }

}

RedisConfig

package club.coderhome.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.serializer.Jackson2JsonRedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;

/**
 * @Author 北冥有鱼
 * @Description redis配置类
 * @Date 2023/5/5 20:15
 */
@Configuration
public class RedisConfig {

    @Bean
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory connectionFactory) {
        RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
        redisTemplate.setConnectionFactory(connectionFactory);
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        redisTemplate.setValueSerializer(new Jackson2JsonRedisSerializer(Object.class));
        return redisTemplate;
    }
    @Bean
    public StringRedisTemplate stringRedisTemplate(RedisConnectionFactory connectionFactory) {
        StringRedisTemplate redisTemplate = new StringRedisTemplate();
        redisTemplate.setConnectionFactory(connectionFactory);
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        redisTemplate.setValueSerializer(new StringRedisSerializer());
        return redisTemplate;
    }
}

编写自定义注解类CurrentLimit

/**
 * @Author 北冥有鱼
 * @Description 限流注解:三个参数分别代表有效时间、最大访问次数、是否需要登录,可以理解为 expirationTime 内最多访问 maxCount 次。
 * @Date 2023/5/5 20:42
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface CurrentLimit {

    //有效时间,单位ms,默认10000ms
    int expirationTime() default 10000;

    //最大访问次数
    int maxCount();

    //是否需要登录
    boolean needLogin() default true;
}

拦截器CurrentLimtInterceptor

/**
 * @Author 北冥有鱼
 * @Description 自定义限流拦截器
 * @Date 2023/5/5 20:47
 */
@Component
public class CurrentLimtInterceptor implements HandlerInterceptor {

    @Resource
    private RedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        if (handler instanceof HandlerMethod) {
            HandlerMethod hm = (HandlerMethod) handler;
            //获取注解信息
            CurrentLimit accessLimit = hm.getMethodAnnotation(CurrentLimit.class);
            if (null == accessLimit) {
                return true;
            }
            int expirationTime = accessLimit.expirationTime();
            int maxCount = accessLimit.maxCount();
            boolean needLogin = accessLimit.needLogin();

            if (needLogin) {
                //判断是否登录
            }

            //客户端ip地址
            String ip = request.getRemoteAddr();
            String key = ip + ":" + request.getServletPath();

            Integer count = (Integer) redisTemplate.opsForValue().get(key);
            //第一次访问
            if (null == count || -1 == count) {
                //设置值,并设置过期时间
                redisTemplate.opsForValue().set(key, 1, expirationTime, TimeUnit.MILLISECONDS);
                return true;
            }

            //如果访问次数<最大次数,则加1操作
            if (count < maxCount) {
                redisTemplate.opsForValue().increment(key, 1);
                return true;
            }

            //超过最大值返回操作频繁
            if (count >= maxCount) {
                System.out.println("count==" + count);
                //解决乱码问题
                response.setContentType("text/html;charset=utf-8");
                response.getWriter().write("请求过于频繁,请稍后再试");
                return false;
            }
        }
        return true;
    }
}

注册拦截器并配置拦截规则

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Autowired
    private CurrentLimtInterceptor currentLimtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(currentLimtInterceptor)
                .addPathPatterns("/draw/**")//拦截器拦截的请求路径
                .excludePathPatterns("/access/login");
    }
}

Controller层的方法上直接可以使用注解@AccessLimit

@RestController
@RequestMapping("/draw")
public class DrawController {

    @ResponseBody
    @GetMapping("/doDraw")
    @CurrentLimit(expirationTime = 30000, maxCount = 3)
    public String accessLimit() {
        return "恭喜你,抽中iphone25一台";
    }
}

4、总结

这里只是提供一个实现防刷策略思路,还可以用nginx条件限流、token机制防刷、布隆过滤器校验,黑名单机制等。

Squirrel_Red
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高并发下一些常用的限流防刷方法
路漫漫,水迢迢
04-23 9679
限流防刷 互联网项目与传统项目不同的互联网项目是暴露在互联网中,面向的是全体网民,这时候可能出现以下两种访问形式需要我们采取一些必要措施对我们的服务进行保护。 1、大量正常用户高频访问导致服务器宕机 2、恶意用户高频访问导致服务器宕机 3、网页爬虫 对于这些情况我们需要对用户的访问进行限流访问,我们可以依次对Nginx、tomcat、接口进行限流。 Nginx是粒度最大的一层,这层的...
秒杀系统设计
Embrace Change
08-10 321
前言 高并发下如何设计秒杀系统?这是一个高频面试题。这个问题看似简单,但是里面的水很深,它考查的是高并发场景下,从前端到后端多方面的知识。 秒杀一般出现在商城的促销活动中,指定了一定数量(比如:10个)的商品(比如:手机),以极低的价格(比如:0.1元),让大量用户参与活动,但只有极少数用户能够购买成功。这类活动商家绝大部分是不赚钱的,说白了是找个噱头宣传自己。 虽说秒杀只是一个促销活动,但对技术...
[Java 项目亮点] 三层限流设计
程序员三木的博客
02-24 1211
Nginx中的模块,可以用于限制处理请求的速率,在许多场合非常有用,特别是当您打算保护系统免受任何可能的DDoS攻击时。这个模块的工作原理是定义一个叫做"速率"的值,这个值是对单位时间内请求的数量进行限制的。比如,你可以设置每分钟只处理100个请求。当某个客户端的请求速率超过这个限制时,Nginx将会把这个请求放入一个队列中,等待处理。如果队列中的请求太多,或者等待的时间太长,那么这个请求就会被丢弃。在配置文件中,你需要使用limit_req_zone指令来定义这个限制。
第九章 防刷限流技术
JavaAlenboy
05-02 610
第九章 防刷限流技术 本章目标 掌握验证码生成与验证技术 掌握限流原理与实现 掌握防黄牛技术 验证码技术及实现 包装秒杀令牌前置,需要验证码来错峰 数学公式验证码生成器 代码实现 新建 CodeUtil 实现生成验证码 public class CodeUtil { private static int width = 90;// 定义图片的width private static int height = 20;// 定义图片的height private static
(秒杀项目) 4.9 削峰限流防刷(核心)
yygr的博客
11-02 617
理解并熟记削峰限流的流程防刷的几种方式能够大概讲出来限流的两种算法要熟记。
Springboot使用redis进行api防刷限流过程详解
08-25
Spring Boot 结合 Redis 实现 API 防刷限流的过程主要涉及到两个核心概念:限流算法和缓存机制。在本文中,我们将深入探讨如何利用 Redis 的存储特性以及 Spring Boot 的强大框架支持来构建一个高效的 API 限流系统...
springboot+redis实现网站限流和接口防刷功能.zip
09-29
在现代Web应用开发中,网站限流和接口防刷功能是至关重要的安全措施。通过结合Spring BootRedis,我们可以构建一套高效且灵活的限流系统,保护我们的服务免受恶意攻击,确保系统的稳定运行。本文将详细介绍如何...
java AOP接口防刷代码
12-12
5. **限流策略**:防刷的关键在于限流,可以使用滑动窗口算法、漏桶算法或者令牌桶算法等,控制单位时间内接口的调用次数。在Java中,可以借助Guava库的RateLimiter或自定义的数据结构实现。 6. **缓存机制**:为了...
redis实现计数器-防止刷单方法介绍
09-09
通过结合 `INCR`、`EXPIRE` 和其他命令,我们可以构建出高效且可靠的限流策略。同时,Redis 的原子性操作确保了在高并发环境下的数据一致性。在实际应用中,根据业务需求,可以进一步调整和优化这些策略,以达到最佳...
lock_api_mount:api接口防刷插件 随时拔插
04-08
1. **限流控制**:限制单位时间内API接口的调用次数,例如滑动窗口限流、令牌桶算法等,防止短时间内大量请求涌入。 2. **IP黑名单**:识别并阻止已知的恶意IP地址访问API。 3. **认证与授权**:要求每个请求携带...
大型商城活动防刷限流方案
孙琛斌的专栏
02-08 8649
最近负责的一个某品牌手机的官方商城,他们要发售一款新手机,以往都是各个渠道一起发售,但是本次决定官网首发10000台,这样一来其他渠道的消费者都会被引流到官网来(天猫/京东/苏宁/线下),其庞大的流量并发可想而知,原有的功能实现肯定无法承载这种体量,因此我们全面优化了预售功能,分别按照以下几个点来操作:1. 页面静态化(动态数据全部通过js异步获取,并且需要控制异步请求的数量,页面缓存到CDN)2...
安全优化---接口限流防刷
weixin_38035852的博客
07-24 4945
接口限流防刷: 限制同一个用户在限定时间内,只能访问固定次数。 思路:每次点击之后,在缓存中生成一个计数器,第一次将这个计数器置1后存入缓存,并给其设定有效期。 每次点击后,取出这个值,计数器加一,如果超过限定次数,就抛出业务异常。 String limitURL =request.getRequestURI();//url 是Stringbuffer URI St...
redis限流防刷
yun914的博客
05-21 3236
限定某个接口在指定时间内只能被访问指定次数,通过incr实现比如在2秒内限制访问次数上限为100次(1)string1.记录key  :ip,如果key不存在,则创建并设置过期时间为2秒2.如果key值&lt;100,则计数加1,否则返回错误信息(2)list实现为每个ip设置列表,每次访问判断列表长度,如果合法,则插入列表,否则返回错误信息。同时为每个key设置过期时间...
nginx + lua + redis 防刷限流
热门推荐
fenglvming的专栏
07-22 3万+
防刷限流的概念是: 防刷的目的是为了防止有些IP来爬去我们的网页,获取我们的价格等信息。不像普通的搜索引擎,这种爬去行为我们经过统计最高每秒300次访问,平均每秒266次访问。 由于我们的网站的页面都在CDN上,导致我们的CDN流量会定时冒尖。为了防止这种情况,打算将网页页面的访问从CDN切回主站。同时开启防刷功能,目前设置一秒200次访问即视为非法, 会阻止10分钟的访问。 限流的目的
11.防刷限流
耗子窝
04-11 409
之前我们已经讲了流量削峰,接下来讲下防刷限流。 首先我们可以使用比较通用的验证码,包装秒杀令牌前置,需要验证码来错峰。 我们可以使用awt来生成图片: public class CodeUtil { private static int width = 90;// 定义图片的width private static int height = 20;// 定义图片的heigh...
定义拦截器,接口限流防刷
jiuweideqixu的博客
05-30 1498
一、自定义注解package com.mydre.miaosha.access;import java.lang.annotation.ElementType;import java.lang.annotation.Retention;import java.lang.annotation.RetentionPolicy;import java.lang.annotation.Target;@Re...
golang ip防刷限流
最新发布
04-03
Golang是一种开源的编程语言,它具有高效、简洁和并发性强的特点,非常适合用于构建高性能的网络应用程序。在Golang中,可以使用一些库和技术来实现IP防刷限流的功能。 一种常见的方法是使用令牌桶算法来进行限流。令牌桶算法基于一个令牌桶,其中包含了一定数量的令牌。每当有请求到达时,就会从令牌桶中取出一个令牌,如果令牌桶中没有足够的令牌,则请求会被拒绝或者延迟处理。这种方式可以有效地控制请求的速率,防止恶意刷接口或者DDoS攻击。 在Golang中,可以使用一些第三方库来实现令牌桶算法。例如,可以使用"golang.org/x/time/rate"包来实现基于令牌桶的限流功能。该包提供了Rate类型,可以用于定义每秒允许通过的请求数量,并且可以使用Allow方法来判断是否允许处理请求。 下面是一个简单的示例代码,演示了如何使用"golang.org/x/time/rate"包来实现IP防刷限流: ```go package main import ( "fmt" "net" "net/http" "time" "golang.org/x/time/rate" ) func main() { // 创建一个限流器,每秒允许通过3个请求 limiter := rate.NewLimiter(3, 1) // 创建一个HTTP服务器 http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) { // 获取请求的IP地址 ip, _, _ := net.SplitHostPort(r.RemoteAddr) // 判断是否允许处理请求 if limiter.Allow() { // 允许处理请求 fmt.Fprintf(w, "Hello, World!") } else { // 请求被限流 http.Error(w, http.StatusText(http.StatusTooManyRequests), http.StatusTooManyRequests) } }) // 启动HTTP服务器 http.ListenAndServe(":8080", nil) } ``` 在上面的示例代码中,我们创建了一个限流器,每秒允许通过3个请求。然后,在处理HTTP请求时,我们获取请求的IP地址,并使用限流器判断是否允许处理请求。如果允许处理请求,则返回"Hello, World!";如果请求被限流,则返回429 Too Many Requests错误。 这只是一个简单的示例,实际应用中可能需要更复杂的逻辑来判断是否需要限流,例如根据不同的IP地址或者用户身份进行不同的限制。同时,还可以结合其他技术,如缓存、分布式限流等来提高系统的稳定性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值