springboot AOP 接口限流(基于IP的接口限流和黑白名单)

最新推荐文章于 2025-05-16 11:15:22 发布
最新推荐文章于 2025-05-16 11:15:22 发布
阅读量217 收藏 1
点赞数 9
文章标签: spring boot tcp/ip 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41860765/article/details/147954066
版权

使用 Spring Boot 自定义注解和AOP实现基于IP的接口限流和黑白名单

在我们日常开发的项目中为了保证系统的稳定性,很多时候我们需要对系统做限流处理,它可以有效防止恶意请求对系统造成过载。常见的限流方案主要有:

网关限流: NGINX、Zuul 等 API 网关
服务器端限流: 服务端接口限流
令牌桶算法: 通过定期生成令牌放入桶中,请求需要消耗令牌才能通过
熔断机制: Hystrix、Resilience4j 等

本文将详细介绍 Spring Boot 通过自定义注解和 AOP(面向切面编程),实现基于 IP 的限流和黑白名单功能,包括如何使用 Redis 存储限流和黑名单信息。

项目搭建

添加必要的依赖。在 pom.xml 文件中添加以下内容:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-aop</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>
</dependencies>

配置 application.yml 加入 redis 配置

spring:
    #redis
    redis:
        # 地址
        host: 127.0.0.1
        # 端口,默认为6379
        port: 6379
        # 数据库索引
        database: 0
        # 密码
        password: password
        # 连接超时时间
        timeout: 10s
        lettuce:
          pool:
            # 连接池中的最小空闲连接
            min-idle: 0
            # 连接池中的最大空闲连接
            max-idle: 8
            # 连接池的最大数据库连接数
            max-active: 8
            # #连接池最大阻塞等待时间(使用负值表示没有限制)
            max-wait: -1ms

自定义限流注解

创建一个自定义注解 RateLimit :

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface RateLimit {
	//限制次数
    int limit() default 5;
    //限制时间 秒
    int timeout() default 60;
}

编写限流切面

使用 AOP 实现限流逻辑,并增加 IP 黑白名单判断 , 使用 Redis 来存储和检查请求次数及黑名单信息。

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import java.util.concurrent.TimeUnit;

@Aspect
@Component
public class RateLimitAspect {

    @Autowired
    private StringRedisTemplate redisTemplate;

    @Autowired
    private HttpServletRequest request;
	//定义黑名单key前缀
    private static final String BLACKLIST_KEY_PREFIX = "blacklist:";
    //定义白名单key前缀
    private static final String WHITELIST_KEY_PREFIX = "whitelist:";

    @Around("@annotation(rateLimit)")
    public Object rateLimit(ProceedingJoinPoint joinPoint, RateLimit rateLimit) throws Throwable {
    	//获取IP
    	// String ip =request.getRemoteAddr();
    	/**
    	* 没有经过代理使用: request.getRemoteAddr();
    	*经过nginx代理使用: request.getHeader("X-Real-IP");
    	**/
        String ip =IpUtil.getIpAddress(request);  
        
        //黑名单则直接异常
        if (isBlacklisted(ip)) {
            throw new RuntimeException("超出访问限制已加入黑名单,1小时后再访问");
        }

		//如果是白名单下的不做限制
        if (isWhitelisted(ip)) {
            return joinPoint.proceed();
        }

        String key = generateKey(joinPoint, ip);
        int limit = rateLimit.limit();
        int timeout = rateLimit.timeout();
        
        String countStr = redisTemplate.opsForValue().get(key);
        int count = countStr == null ? 0 : Integer.parseInt(countStr);

        if (count < limit) {
            redisTemplate.opsForValue().set(key, String.valueOf(count + 1), timeout, TimeUnit.SECONDS);
            return joinPoint.proceed();
        } else {
            addToBlacklist(ip);
            throw new RuntimeException("超出请求限制IP已被列入黑名单");
        }
    }

    // 判断是否在黑名单列表内
    private boolean isBlacklisted(String ip) {
        return redisTemplate.hasKey(BLACKLIST_KEY_PREFIX + ip);
    }

    // 是否在白名单内
    private boolean isWhitelisted(String ip) {
        return redisTemplate.hasKey(WHITELIST_KEY_PREFIX + ip);
    }

    // 添加ip到白名单内
    private void addToBlacklist(String ip) {
        redisTemplate.opsForValue().set(BLACKLIST_KEY_PREFIX + ip, "true", 1, TimeUnit.HOURS);
    }

    // redis key 拼接
    private String generateKey(ProceedingJoinPoint joinPoint, String ip) {
        String methodName = joinPoint.getSignature().getName();
        String className = joinPoint.getTarget().getClass().getName();
        return className + ":" + methodName + ":" + ip;
    }
}


/**
 * IP工具类
 */
public class IpUtil {

    /**
     * 获取ip
     * @param request 请求
     * @return {@link String }
     */
    public static String getIpAddress(HttpServletRequest request) {
        String ipAddress = null;
        try {
            ipAddress = request.getHeader("x-forwarded-for");
            if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
                ipAddress = request.getHeader("Proxy-Client-IP");
            }
            if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
                ipAddress = request.getHeader("WL-Proxy-Client-IP");
            }
            if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
                ipAddress = request.getRemoteAddr();
                if (ipAddress.equals("127.0.0.1")) {
                    // 根据网卡取本机配置的IP
                    InetAddress inet = null;
                    try {
                        inet = InetAddress.getLocalHost();
                    } catch (UnknownHostException e) {
                        e.printStackTrace();
                    }
                    ipAddress = inet.getHostAddress();
                }
            }
            // 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
            if (ipAddress != null && ipAddress.length() > 15) { // "***.***.***.***".length()
                // = 15
                if (ipAddress.indexOf(",") > 0) {
                    ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));
                }
            }
        } catch (Exception e) {
            ipAddress="";
        }
        // ipAddress = this.getRequest().getRemoteAddr();

        return ipAddress;
    }

    /**
     * 获取网关ip
     * @param request 请求
     * @return {@link String }
     */
    public static String getGatwayIpAddress(ServerHttpRequest request) {
        HttpHeaders headers = request.getHeaders();
        String ip = headers.getFirst("x-forwarded-for");
        if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {
            // 多次反向代理后会有多个ip值,第一个ip才是真实ip
            if (ip.indexOf(",") != -1) {
                ip = ip.split(",")[0];
            }
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = headers.getFirst("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = headers.getFirst("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = headers.getFirst("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = headers.getFirst("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = headers.getFirst("X-Real-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddress().getAddress().getHostAddress();
        }
        return ip;
    }
}

Controller中使用限流注解

创建一个简单的限流测试Controller,并在需要限流的方法上使用 @RateLimit 注解:,需要编写异常处理,返回RateLimitAspect异常信息,并以字符串形式返回

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api")
public class TestController {

    @RateLimit(limit = 5, timeout = 60)
    @GetMapping("/limit")
    public String testRateLimit() {
        return "Request successful!";
    }
}
twj_one
关注
SpringCloud Alibaba 实战之《生产实践:Sentinel 进阶应用场景》
小米吃辣椒的博客
05-27 336
上一讲我为各位讲解了 Nacos 配置中心的用途及配置技巧。本讲咱们基于上一讲的成果,学习如何在生产环境下通过 Nacos 实现 Sentinel 规则持久化。本讲咱们将介绍三方面内容: Sentinel 与Nacos整合实现规则持久化; 自定义资源点进行熔断保护; 开发友好的异常处理程序。 Sentinel 与 Nacos 整合实现规则持久化 细心的你肯定在前面 Sentinel的使用过程中已经发现,当微服务重启以后所有的配置规则都会丢失,其中的根源是默认微服务将 Sentinel 的规则保存在
使用Spring Boot自定义注解 + AOP实现基于IP接口限流黑白名单
热门推荐
Micro麦可乐的博客
05-31 1万+
前言项目初始化自定义限流注解编写限流切面Controller中使用限流注解测试及思考结语在我们日常开发的项目中为了保证系统的稳定性,很多时候我们需要对系统做限流处理,它可以有效防止恶意请求对系统造成过载。网关限流NGINXZuul等 API 网关服务器端限流:服务端接口限流令牌桶算法:通过定期生成令牌放入桶中,请求需要消耗令牌才能通过熔断机制Hystrix等本文将详细介绍通过自定义注解AOP(面向切面编程),实现基于IP限流黑白名单功能,包括如何使用Redis存储限流名单信息。
springboot+aop实现限流方式浅析
ldcaws的专栏
08-07 2109
限流,就是在某个时间窗口对资源访问做次数限制,如设定每秒最多100个访问请求。限流具有两个维度,如下在实际开发中,不止设置一种限流规则,而是设置多个限流规则共同作用,常见限流规则如下限流常见方法如下在springboot工程中,通过aop的方式实现限流,应用场景有采用guava的速率限流、采用redis的指定时间指定次数限制、socket请求限制、http请求限制。 实例2:redis指定时间指定次数限制 或切面环绕无返回,请求返回为空 实例3:socket请求限流 ...
Spring Boot通过自定义注解Redis+Lua脚本实现接口限流
Micro麦可乐的博客
06-09 1万+
在我们日常开发的项目中为了保证系统的稳定性,很多时候我们需要对系统接口限流处理,它可以有效防止恶意请求对系统造成过载。通过本文的步骤,我们将成功地在`Spring Boot`项目中结合`Redis``Lua`脚本实现了一个灵活高效的接口限流功能。通过`自定义注解``AOP`切面,可以方便地为不同的接口设置不同的限流策略
分布式接口幂等性、分布式限流:Guava 、nginxlua限流
m0_67322837的博客
09-01 380
算法是死的,人是活的,先进的生产力来自于不断的创造,在技术领域尤其如此。举个最简单的例子,那就是支付,用户购买商品后支付,支付扣款成功,但是返回结果的时候网络异常,此时钱已经扣了,用户再次点击按钮,此时会进行第二次扣款,返回结果成功,用户查询余额返发现多扣钱了,流水记录也变成了两条,这就没有保证接口的幂等性。通过版本号的方式,来控制update的操作的幂等性,用户查询出要修改的数据,系统将数据返回给页面,将数据版本号放入隐藏域,用户修改数据,点击提交,将版本号一同提交给后台,后台使用版本号作为更新条件。
分布式接口幂等性、分布式限流总结整理
架构文摘
03-04 337
—1—文章目录一、接口幂等性1、Update操作的幂等性1)根据唯一业务号去更新数据2、使用Token机制,保证update、insert操作的...
5小步快速集成使用sentinel限流
程序员半支烟,wechat:yclxiao
04-27 849
本文主要介绍spring项目如何快速集成sentinel实现系统限流。首先启动sentinel-dashboard,然后使用5个简单步骤即可使用sentinel限流。在应用server的IP地址频繁变动的场景下,建议使用代码方式限流。流控的方式较多,你需要根据自身的业务需求做选择,我一般情况下选择单机流控系统保护。本篇完结!!!5小步快速集成使用sentinel限流 - 不焦躁的程序员5小步快速集成使用sentinel限流
SpringBoot实现接口防刷的5种高效方案详解
iku_n的博客
04-28 1020
在当今互联网应用中,接口安全是系统设计中不可忽视的重要环节。恶意用户或自动化脚本的高频请求不仅会消耗宝贵的服务器资源,还可能导致数据异常、服务不可用甚至系统崩溃。本文将详细介绍在SpringBoot框架下实现接口防刷的5种技术方案,帮助开发者构建更加健壮的应用系统。本文详细介绍了SpringBoot框架下5种接口防刷方案,从简单的注解限流到复杂的Sentinel集成,开发者可以根据实际需求选择合适的方案。在实际项目中,通常需要组合多种方案来构建全方位的防护体系。技术选型关键点评估系统规模(单机/分布式)
分布式接口幂等性、分布式限流(Guava 、nginxlua限流
芋艿V
01-15 192
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~...
SpringBoot+redis+aop处理黑白名单
weixin_60523038的博客
08-30 731
黑白名单,AOP黑白名单,SpringBoot
阿里资深架构师倾情力荐:Java 全线成长宝典,P5 到 P8 一应俱全
zhaohuodian的博客
08-31 608
我们要明白的一点是,程序员的 career 实际上是在混这个行业,而不是某个固定的公司,现在几乎不存一个工作做一辈子的情况,所以变数是比较大的,我们要做的就是随时准备好应对“变数”的方案。因此,不断更新自己的知识库,确保自己一定能保持在这个行业的头部,要具有忧患意识是非常重要的。以上所有学习笔记资料均能够分享给大家的,希望能够一起进步。...
spring boot 注解
abc
05-14 451
当类不属于注解@Controller@Service等时,就可以使用注解@Component 来标注这个类。它用于标注配置类,并且可以由Spring容器自动处理。Spring会把被注解@Controller、@Service、@Repository、@Component标注的类纳入Spring容器中进行管理。spring 会把被注解@Controller、@Service、@Repository、@Component 标注的类。它用于声明一个业务处理类(实现非接口类),用于标注服务层,处理业务逻辑。
深入剖析Spring Boot参数校验:实现原理、自定义注解组件与国际化多语言实践
最新发布
weixin_41821642的博客
05-16 357
本文总结了Spring Boot项目中参数校验的重要性及其实现机制。Spring Boot基于JSR-380规范,提供了强大的参数校验功能,支持声明式校验、嵌套校验、分组校验、自定义校验逻辑以及国际化错误消息处理。文章详细解析了Spring Boot参数校验的原理,指出参数校验逻辑主要在RequestResponseBodyMethodProcessor中处理,并通过validateIfApplicable方法执行校验。最终,参数校验的具体逻辑由ConstraintValidator的isValid方法实现
JAVA:Spring Boot 集成 RDF4J 实现欺诈检测的技术指南
木头
05-16 23
本文介绍了如何在 Spring Boot 项目中集成 RDF4J,并通过 SPARQL 查询实现欺诈检测。RDF4J 是一个用于管理 RDF 数据的 Java 框架,支持数据存储、SPARQL 查询、推理数据集成。项目核心功能包括 RDF 数据存储、SPARQL 查询支持、数据转换与兼容性、API 库以及图形用户界面。文章详细展示了如何在项目中添加 RDF4J 依赖,并提供了创建查询内存中 RDF 模型的示例代码。此外,还演示了如何从文件加载 RDF 数据并执行 SPARQL 查询。
Spring Boot 注解】@SpringBootApplication
weixin_45658815的博客
05-06 1178
Spring Boot 提供的一个注解,通常用于启动类(主类)上,它是三个注解的组合:1.表示该类是一个配置类,等价于 XML 配置文件。2.告诉 Spring Boot 启动自动配置功能,根据类路径下的依赖、配置等自动配置 Spring 应用。3.启动组件扫描,默认扫描当前类所在包及其子包,将标注了如 @Component、@Service、@Repository、@Controller 等注解的类注入 Spring 容器。
Redis学习打卡-Day2-缓存更新策略、主动更新策略、缓存穿透、缓存雪崩、缓存击穿
SLFG_Ts的博客
05-15 730
缓存更新策略、主动更新策略、缓存穿透、缓存雪崩、缓存击穿
【Java项目脚手架系列】第四篇:Spring Boot基础项目脚手架
工一木子
05-08 1435
Spring Boot是一个快速开发框架,它简化了Spring应用的初始搭建开发过程。自动配置机制内嵌服务器支持丰富的starter依赖完善的监控功能Spring Boot脚手架提供了一个完整的企业级应用开发基础,包含了必要的配置示例代码。快速搭建Web应用实现RESTful API进行单元测试使用开发工具。
[Java实战]Spring Boot 3整合JWT实现无状态身份认证(二十四)
曼岛_的博客
05-14 947
本文介绍了如何在Spring Boot 3中整合JWT(JSON Web Token)实现无状态身份认证。首先,文章简要介绍了JWT的核心概念,包括其结构(Header、Payload、Signature)及其优势,如无状态、跨域支持安全性。接着,详细说明了环境准备步骤,包括创建Spring Boot项目并添加JWT依赖。随后,文章展示了核心代码实现,包括JWT工具类的编写,用于生成、解析验证JWT令牌。最后,文章介绍了如何将JWT与Spring Security集成,配置安全过滤器链并实现JWT认证过
Spring Boot 整合 Redis 实战
HardworkingHuang的博客
05-13 969
本文详细介绍了如何将Spring Boot与Redis进行整合,以实现高性能缓存、分布式锁会话共享等功能。首先,文章说明了所需的技术栈,包括Spring Boot 3.1.2、Redis 7.0+以及相关的Maven依赖。接着,文章详细描述了如何启动Redis服务,无论是本地启动还是通过Docker容器。在基础整合部分,文章介绍了如何配置application.yml文件以及如何自定义RedisTemplate的序列化方式。实战案例部分展示了如何使用RedisTemplate进行简单的CRUD操作,以及如
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值