@AccessLimit接口限流

最新推荐文章于 2023-11-19 22:50:57 发布
最新推荐文章于 2023-11-19 22:50:57 发布
阅读量2.3k 收藏 9
点赞数 3
分类专栏: java项目工具 java项目经验 文章标签: java 服务器 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56769991/article/details/123908149
版权

当我们需要对后端的某些接口进行限流(其实防止一些请求在一定时间内进行多次访问,比如防止用户1秒内多次进行评论、防止多次重复登录等操作,这时我们就需要对该接口进行限流)

当然限流操作还有一些场景:

  • 秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动
  • 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流
  • 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。

总的就是说防止同一用户对单个接口进行重复调用,这里我们就需要使用到@AccessLimit进行流量控制。这个注解需要我们自己手动去定义,并搭配springboot的拦截器使用。

原理分析

拦截器拦截一个请求,看看这个请求所访问的接口方法上是否存在我们的注解@AccessLimit,如果存在,则取出注解里的相关信息(例如在多少时间内允许访问接口多少次,超过限制会提示出怎么样的内容),再从这个request请求中取出ip地址,访问的路径等组合为key作为一个用户的唯一标识。在redis中查找是否有这个key,没有则之后以唯一标识:访问次数map的形式存放到redis中,并设置过期时间;如果存在,则取出这个key对应的value值比较是否超出我们的预定值,超出则给出提示信息,并return false拦截该请求(该请求结束),如果并没有超出限制,则给这个key+1后return true对该request进行放行

我们先来自定以这个注解

AccessLimit

@Target(ElementType.METHOD)   //这个注解应该用到方法上
@Retention(RetentionPolicy.RUNTIME)  //运行时注解
public @interface AccessLimit {
	/**
	 * 限制周期(秒)
	 */
	int seconds();

	/**
	 * 规定周期内限制次数
	 */
	int maxCount();

	/**
	 * 触发限制时的消息提示
	 */
	String msg() default "操作频率过高";
}

定义拦截器AccessLimitInterceptor

@Component
public class AccessLimitInterceptor extends HandlerInterceptorAdapter {
	//本拦截器需要使用redis缓存来进行计数
	@Autowired
	RedisService redisService;

	
	 * @param request
	 * @param response
	 * @param handler
	 * @return
	 * @throws Exception
	 */
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
		//看看这个handler是不是一个方法,不是的话直接放行(AccessLimit只会出现在方法上)
		if (handler instanceof HandlerMethod) {
			HandlerMethod handlerMethod = (HandlerMethod) handler;
			AccessLimit accessLimit = handlerMethod.getMethodAnnotation(AccessLimit.class);
			//方法上没有访问控制的注解,直接通过
			if (accessLimit == null) {
				return true;
			}
			//获取时间限制
			int seconds = accessLimit.seconds();
			//获取数量限制 
			int maxCount = accessLimit.maxCount();
			//获取ip地址
			String ip = IpAddressUtils.getIpAddress(request);
			//获取请求方法
			String method = request.getMethod();
			//获取请求路径
			String requestURI = request.getRequestURI();
			//组合成唯一的k
			String redisKey = ip + ":" + method + ":" + requestURI;
			
			Integer count = redisService.getObjectByValue(redisKey, Integer.class);
			if (count == null) {
				//在规定周期内第一次访问,存入redis
				redisService.incrementByKey(redisKey, 1);
				redisService.expire(redisKey, seconds);
			} else {
				if (count >= maxCount) {
					//超出访问限制次数
					response.setContentType("application/json;charset=utf-8");
					PrintWriter out = response.getWriter();
					Result result = Result.create(403, accessLimit.msg());
					//让response包含我们的result对象
					out.write(JacksonUtils.writeValueAsString(result));
					out.flush();
					out.close();
					return false;
				} else {
					//没超出访问限制次数
					redisService.incrementByKey(redisKey, 1);
				}
			}
		}
		return true;
	}
}

其中有一个方法会通过request获得ip地址,这里将代码贴出来:

/**
	 * 在Nginx等代理之后获取用户真实IP地址
	 *
	 * @param request
	 * @return
	 */
	public static String getIpAddress(HttpServletRequest request) {
		String ip = request.getHeader("X-Real-IP");
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("x-forwarded-for");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("WL-Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_CLIENT_IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_X_FORWARDED_FOR");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getRemoteAddr();
			if ("127.0.0.1".equals(ip) || "0:0:0:0:0:0:0:1".equals(ip)) {
				//根据网卡取本机配置的IP
				InetAddress inet = null;
				try {
					inet = InetAddress.getLocalHost();
				} catch (UnknownHostException e) {
					log.error("getIpAddress exception:", e);
				}
				ip = inet.getHostAddress();
			}
		}
		return StringUtils.substringBefore(ip, ",");
	}

定义了拦截器,我们还需要将拦截器注册到springboot

注册拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(accessLimitInterceptor); //默认是为所有的接口都设置拦截器
	}
}

之后我们就可以在Controller层使用注解了

@GetMapping("/test")
@AccessLimit(seconds=5, maxCount=5 , msg="超过访问次数")
public Result test(){

	return new Result();
}

如果我们在规定时间内访问统一接口,就会有所提示并拦截掉request。

sword to coding
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
secKill项目 --- @AccessLimit用法的问题
Unknownfuture的博客
07-24 1628
先附上原本的代码: 项目中,用了拦截器,用于简化限流判断 @Service public class AccessInterceptor extends HandlerInterceptorAdapter{ @Autowired MiaoshaUserService miaoshaUserService; @Autowired RedisService redisService; @Override public boolean preHandle(HttpServletRequest re
自定义注解:AccessLimit
fhxyryxc的博客
02-18 847
注解类 @Retention(RUNTIME) @Target(METHOD) public @interface AccessLimit { int seconds(); int maxCount(); boolean needLogin()default true; } Interceptor拦截器 @Component public class FangshuaInterceptor extends HandlerInterceptorAdapter { @Auto
AccessLimitIntercept
武壮
11-02 340
@Component @Slf4j /** * 对请求服务的请求进行限流 */ public class AccessLimitIntercept implements HandlerInterceptor { @Autowired private StringRedisTemplate redisTemplate; /** * 接口调用前检查对方ip是否频繁调用接口 * * @param request * @param respo.
注解方式实现接口限流
weixin_38400347的博客
03-21 359
需求:使用自定义注解,实现加注解后,对该接口实现限流功能 思路 自定义一个注解,注解中添加两个属性,分别是时间和次数,表示在此时间内,最多允许访问的次数 新增一个切面,切点为自定义注解,切面方法使用环绕通知,执行正常方法前判断,是否满足限流条件,如果满足,则直接返回已限流错误信息,如果不限流,则正常执行方法后返回。 限流条件设计: 使用一个map,用于存储接口 其他 ...
自定义 AccessLimit 注解实现 Spring Boot 接口防刷
Sanchar
09-12 1940
技术要点:Spring Boot的基本知识 首先是写一个注解类: import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHO
后端怎么防止重复提交?(常用的做法)
当幸福来敲门的专栏
03-08 3087
后端怎么防止重复提交?(常用的做法) 客户端的抖动,快速操作,网络通信或者服务器响应慢,造成服务器重复处理。防止重复提交,除了从前端控制,后台也需要控制。因为前端的限制不能解决彻底。接口实现,通常要求幂等性,保证多次重复提交只有一次有效。对于更新操作,达到幂等性很难。 常用后端防止重复提交方案 token 访问请求到达服务器,服务器端生成token,分别保存在客户端和服务器。提交请求到达服务器,服务器端校验客户端带来的token与此时保存在服务器的token是否一致,如果一致,就继续操作,删除服务器的
利用spring如何实现接口限流
12-22
利用spring如何实现接口限流 1.创建自定义注解 ** * 限流注解 */ @Inherited @Documented @Target({ElementType.FIELD, ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @...
Java后端防止接口被同一个账号在同一台设备短时间内重复调用的一种解决方案
weixin_42023666的博客
09-27 7534
对于前后端分离的项目,后端人员通常都要对发起请求的用户的合法性和权限进行审核(比如用户每次请求都要携带token,token校验通过的才放行),只要审核通过了,基本上都允许用户的后续操作。可是这样就安全了吗?任何一个在后端开发浸淫多年的人,都会不知不觉间往数据安全方面倾注更多的精力。笔者作为某小公司中的唯一后端开发,在数据安全这块也是操碎了心的,先是重构了登录注册接口,防止用户账号密...
SpringBoot 防止接口恶意多次请求
qq_42597706的博客
11-14 6412
前言 刚写代码不就,还不能做深层次安全措施,今天研究了一下基本的防止接口多次恶意请求的方法。 思路 1:设置同一IP,一个时间段内允许访问的最大次数 2:记录所有IP单位时间内访问的次数 3:将所有被限制IP存到存储器 4:通过IP过滤访问请求 该demo只有后台Java代码,没有前端 代码 首先是获取IP的工具类 public class Ipsettings ...
access实现limit分页
xuezike的专栏
04-09 4707
由于access里面没有mysql的limit语句进行分页,所有我们可以使用top语句来实现分页功能。access的top是用来获取记录集的前几个的。 先定义一下变量 size---单页的记录数 page---页数,从2开始 (第一页需要特殊处理) 我们先获取包括当前页的前几页的记录集A:  select top (page*size)  * from [table] order by [
JPA注解@Access实例
03-09
JPA注解@Access实例 test-jpa
应对并发之接口限流
xiaoye的博客
04-16 987
Java开发中,高并发一直都是我们比较关注的,网上针对高并发有各种各样的应对方案,有加缓存、服务降级、接口限流等等等,今天我们主要讲接口限流方面的东西。 接口限流其实主要就是分布式限流,分布式限流最关键的是讲限流服务做成原子化,而解决方案可以使用redis+lua或者nginx+lua。 今天我主要讲的是redis+lua进行限流: 首先在项目中自定...
spring中实现基于注解实现动态的接口限流防刷
weixin_30698297的博客
06-01 329
本文将介绍在spring项目中自定义注解,借助redis实现接口限流 自定义注解类 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotati...
Access实现limit类似的功能的方法
MemRay
10-15 6715
Access实现limit类似的功能的方法这篇文章的内容如下: Mysql数据库支持LIMIT语句,所以使得翻页易如反掌,比如我们可以这么写: SELECT * FROM Doc WHERE docSort=‘Java’ LIMIT 0,30 表示从第1条开始取30条记录。但其他数据库都不支持这个语句,所以只能另辟蹊径了,下面就来介绍一下“掐头去尾”法。此方法主要是利用 了
SpringBoot使用注解 拦截器 redis实现接口防刷
CharlesYooSky的博客
04-18 265
接口防刷记录
springboot中application.properties文件redis的配置
吴成伟的博客
10-26 9500
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连...
SpringBoot 注解开发
最新发布
weixin_53630942的博客
11-19 280
场景:前端发起的频繁的请求,导致服务器压力过大。需要对后端接口进行限流处理,每个接口都需要做限流处理的话就会导致代码冗余,此时就可以利用注解进行解决//时间//次数//这个用于判断是否需要登录,后续可用SpringSecurity + JWT 实现。场景:很多手机号之类的信息需要在前端页面需要进行脱敏处理@Overrideif (value!if (!} else {} else {在返回的对象中使用。
SpringBoot + Redis 实现防刷限流
旷野历程
04-17 255
添加自定义AccessLimit注解,使用注解方式实现接口限流操作。使用 AccessLimit。
spring boot中的拦截器限制用户访问接口次数
热门推荐
PzzZ的博客
01-06 1万+
1、自定义一个拦截器集成HandlerInterceptorAdapter里面的preHandle方法 @Service public class AccessInterceptor extends HandlerInterceptorAdapter{ @Autowired RedisService redisService; @Override publi
springboot对指定接口限制访问次数代码实现
05-19
可以通过使用拦截器或者过滤器实现对指定接口的访问次数限制。 以下是使用拦截器实现限制访问次数的示例代码: 1. 创建自定义注解 `@AccessLimit`,用于标记需要限制访问次数的接口。 ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AccessLimit { // 默认访问次数限制为5次 int limit() default 5; // 时间段,单位为秒,默认为60秒 int seconds() default 60; } ``` 2. 创建拦截器 `AccessLimitInterceptor`,用于实现限制访问次数的逻辑。 ```java @Component public class AccessLimitInterceptor implements HandlerInterceptor { @Autowired private RedisTemplate<String, Object> redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 判断是否标注了@AccessLimit注解 if (handler instanceof HandlerMethod) { HandlerMethod handlerMethod = (HandlerMethod) handler; if (!handlerMethod.hasMethodAnnotation(AccessLimit.class)) { return true; } // 获取@AccessLimit注解 AccessLimit accessLimit = handlerMethod.getMethodAnnotation(AccessLimit.class); // 获取接口访问限制次数和时间段 int limit = accessLimit.limit(); int seconds = accessLimit.seconds(); // 获取请求的IP地址和接口地址 String ipAddr = getIpAddress(request); String requestUrl = request.getRequestURI(); // 设置Redis中的Key String redisKey = String.format("%s_%s", ipAddr, requestUrl); // 判断Redis中是否存在Key ValueOperations<String, Object> valueOps = redisTemplate.opsForValue(); if (!redisTemplate.hasKey(redisKey)) { // 第一次访问,设置初始值 valueOps.set(redisKey, 1, seconds, TimeUnit.SECONDS); } else { // 已经访问过,进行访问次数限制判断 int count = (int) valueOps.get(redisKey); if (count >= limit) { // 超出访问次数限制,返回错误信息 response.setContentType("application/json;charset=UTF-8"); response.getWriter().write("超出访问次数限制"); return false; } else { // 访问次数加1 valueOps.increment(redisKey, 1); } } } return true; } /** * 获取请求的IP地址 */ private String getIpAddress(HttpServletRequest request) { String ipAddr = request.getHeader("x-forwarded-for"); if (StringUtils.isBlank(ipAddr) || "unknown".equalsIgnoreCase(ipAddr)) { ipAddr = request.getHeader("Proxy-Client-IP"); } if (StringUtils.isBlank(ipAddr) || "unknown".equalsIgnoreCase(ipAddr)) { ipAddr = request.getHeader("WL-Proxy-Client-IP"); } if (StringUtils.isBlank(ipAddr) || "unknown".equalsIgnoreCase(ipAddr)) { ipAddr = request.getRemoteAddr(); } return ipAddr; } } ``` 3. 在需要限制访问次数的接口上添加 `@AccessLimit` 注解。 ```java @RestController public class DemoController { @GetMapping("/demo") @AccessLimit public String demo() { return "Hello World!"; } } ``` 这样,每个IP地址在60秒内最多只能访问 `/demo` 接口5次。 注意:以上代码仅供参考,实际应用中还需要考虑并发访问、线程安全等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值