SpringBoot限制请求访问次数

已于 2024-07-17 10:37:10 修改
阅读量658 收藏 11
点赞数 10
分类专栏: 服务端小功能开发记录 文章标签: spring boot 后端 java
于 2024-07-17 10:36:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62791684/article/details/140484812
版权

本篇文章的主要内容是SpringBoot怎么限制请求访问次数。
当我们的服务端程序部署到服务器上后,就要考虑很多关于安全的问题。总会有坏人来攻击你的服务,比如说会窃取你的数据或者给你的服务器上强度。关于给服务器上强度,往往就有高强度给服务器发送请求这个方法。所以我们就要限制请求的访问次数。
有以下几种方法:

1. 使用拦截器(interceptor)

  • 创建一个拦截器类,实现HandlerInterceptor接口
@Component
public class RateLimitInterceptor implements HandlerInterceptor {
}
  • 在拦截器中重写PreHandle方法,实现访问频率限制的逻辑
package com.game.server.interceptor;

/**
 * @author Administrator
 * @date 2024/7/17 9:27
 * @description RateLimitInterceptor
 */
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.atomic.AtomicInteger;

@Component
public class RateLimitInterceptor implements HandlerInterceptor {

    public static final Map<String, AtomicInteger> requestCounts = new ConcurrentHashMap<>();

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String ipAddress = request.getRemoteAddr();
        AtomicInteger requestCount = requestCounts.computeIfAbsent(ipAddress, k -> new AtomicInteger(0));
        System.out.println("当前ip:"+ipAddress+"请求次数:"+requestCount.incrementAndGet());
        if (requestCount.incrementAndGet() > 10) { // 限制每分钟每个IP最多10次请求
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("请求过于频繁,请稍后再试。");
//            throw new RuntimeException("请求过于频繁,请稍后再试。");
            return false;
        }

        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        String ipAddress = request.getRemoteAddr();
        AtomicInteger requestCount = requestCounts.get(ipAddress);
        if (requestCount != null) {
            requestCount.decrementAndGet();
        }
    }
}
  • 将拦截器注册到SpringMVC的拦截链中
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private RateLimitInterceptor rateLimitInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(rateLimitInterceptor).addPathPatterns("/api/**");
    }
}

此时需注意,有可能这会导致内存泄漏,所以我们要设置一个定时器来定时释放内存:

import lombok.extern.slf4j.Slf4j;
import org.springframework.scheduling.annotation.Scheduled;
import org.springframework.stereotype.Component;

import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.atomic.AtomicInteger;

@Component
@Slf4j
public class RequestCounterCleaner {


    @Scheduled(fixedRate = 30000) // 每分钟清理一次
    public void cleanRequestCounts() {
        log.info("清理请求表内容");
        RateLimitInterceptor.requestCounts.clear();
    }
}

最后在启动文件下启动定时器:
@EnableScheduling

@SpringBootApplication
@EnableTransactionManagement
@Slf4j
@EnableAspectJAutoProxy
@EnableScheduling
@ComponentScan(basePackages = {"com.game.common","com.game.server"})
public class ServerApplication {
    public static void main(String[] args) {
        SpringApplication.run(ServerApplication.class, args);
        log.info("游戏后端启动");
    }
}

2. 使用过滤器(Filter)

  • 和上面差不多,先创建过滤器,实现“Filter"接口
  • 在过滤器中实现对请求的逻辑处理
  • 写Filter配置文件,将过滤器注册到SpringBoot的过滤链中,确保所有请求都会通过这个过滤器
  • 写定时器定时清理数据
  • 在SpringBoot请求类中启动定时器

3. 使用切面(Aspect)

大概项目目录结构如下:
在这里插入图片描述

  • 创建注解 RequestLimit:
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented
@Order(Ordered.HIGHEST_PRECEDENCE)
public @interface RequestLimit {
    /**
     * 最大访问次数
     */
    public int maxCount() default Integer.MAX_VALUE;

    /**
     * 访问时间段
     */

    public long timeout() default 60*1000;
}
  • 创建切面类RequestLimitAspect:
@Slf4j
@Aspect
@Component
public class RequestLimitAspect {
    @Autowired
    private RedisTemplate redisTemplate;
	// 以下是定义切入点
    @Pointcut("within(@org.springframework.web.bind.annotation.RestController *) && @annotation(com.game.server.annotation.RequestLimit)")
    public void autoRequestLimitPointCut(){

    }

    @Before("autoRequestLimitPointCut()")
    public void requestLimit(final JoinPoint joinPoint) throws RequestLimitException {
        log.info("开始记录请求");
        MethodSignature signature = (MethodSignature) joinPoint.getSignature();
        RequestLimit requestLimit = signature.getMethod().getAnnotation(RequestLimit.class);
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = null;
        if (requestAttributes != null) {
            request = requestAttributes.getRequest();
        }
        String ip = request.getRemoteAddr();
        String uri = request.getRequestURI();
        String url = request.getRequestURL().toString();
        String key = "request-limit-"+url;
        long count = redisTemplate.opsForValue().increment(key,1);
        if(count == 1){
            redisTemplate.expire(key,requestLimit.timeout(), TimeUnit.MILLISECONDS);
        }
        if(count > requestLimit.maxCount()){
            String error = "HTTP请求【"+url+"】超过限制,限制次数为【"+requestLimit.maxCount()+"】,请稍后再试";
            log.error(error);
            throw new RequestLimitException(error);
        }
    }

}
  • 开始切:
    加入如下注解,顺便定义参数
    在这里插入图片描述
    这样就实现了请求限制。这个切面相比于拦截器和过滤器来说跟灵活。

4. 使用限流组件

  • 用第三方库Bucket4j,Sentinel来实现限流

5. 使用API网关

  • 在微服务中可以到微服务网关实现限流。

6. 使用Nginx配置:

在Nginx中可以通过limit_req_zone和limit_req指令来实现请求限流

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

    server {
        location /api/ {
            limit_req zone=one burst=5 nodelay;

            # 其他处理逻辑
        }
    }
}

在上面的配置中:

limit_req_zone指令用于定义请求限流的地理位置和速率。$binary_remote_addr表示使用客户端的IP地址来区分不同的地理位置,zone=one表示限流区域的名称,10m表示用于存储请求状态的内存大小,rate=10r/s表示每秒允许的请求速率为10。
在location /api/中使用了limit_req指令,将请求限流应用于/api/路径的所有请求。burst=5表示同时可以处理的并发请求的最大数量,nodelay表示当超出限流时立即返回限制状态码,而不是延迟处理。
通过这样的配置,Nginx会对/api/路径下的请求进行限流,每个IP地址每秒最多只能发送10个请求,并且使用令牌桶算法进行请求处理。

这样的配置可以有效地保护后端服务器免受过多请求的影响,防止恶意攻击和负载过载。同时,Nginx的请求限流功能可用于稳定系统并提高系统的可靠性。

泉绮
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot接口限制访问次数
qq_37342720的博客
02-17 3778
对接口访问次数限制 是从java版web项目公众号中看到 于是百度结合自己现有项目写了一下 首先需要定义一个注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; /** * @Auther: lirui * @Date: 2
SpringBoot 接口访问频率限制(一)
04-01
3. 在需要限制的接口方法上添加`@RateLimit`注解,指定最大请求次数和时间周期。 ```java @RestController public class MyController { @GetMapping("/api") @RateLimit(maxRequests = 5, periodInMilliseconds ...
SpringBoot 并发登录人数控制
Java知音
06-18 998
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:殷天文www.jianshu.com/p/b6f5ec98d790技术经验交流:点击入群 ,本篇...
SpringBoot限制接口访问次数
p13993233504的博客
04-01 311
SpringBoot限制接口访问次数
SpringBoot——》限制请求访问次数
小仙~
07-10 1532
SpringBoot限制请求访问次数
SpringBoot如何限制请求访问次数
qq_46426180的博客
07-18 431
Spring Boot应用中限制请求访问次数可以通过几种不同的方法实现,如使用Rate Limiting中间件或自定义拦截器。
SpringBoot实现限制ip访问次数
weixin_34050005的博客
06-08 2258
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot项目通过ip和url限制用户请求次数
搬砖狗-小强的专栏
07-30 2561
通过拦截器,我们设置了1分钟内同一个ip和ur如果请求超过25次就提醒超过了限定的次数
SpringBoot注解限制接口访问次数
qq_45506362的博客
09-21 618
Retention;Target;
SpringBoot中自定义注解实现控制器访问次数限制实例
08-30
SpringBoot应用中,我们经常会遇到需要限制控制器访问次数的需求,以防止恶意用户或机器人对特定接口进行频繁的请求,从而影响服务器性能或安全性。本文将详细介绍如何通过自定义注解来实现这一功能。 首先,我们...
springboot记录api的访问次数
03-12
- 每次请求时,增加对应的访问次数。 3. **限制存储时间**: - 为了只保存最近一分钟的访问次数,可以在拦截器中添加逻辑,检查每个API的访问时间戳。如果超过一分钟,则从存储中移除。 - 如果使用数据库,可以...
Springboot过滤器禁止ip频繁访问功能实现
08-19
Springboot过滤器禁止ip频繁访问功能实现是指在Springboot项目中,通过编写一个过滤器来限制ip频繁访问的功能实现。这项功能可以防止恶意ip的访问,保护服务器的安全。 首先,需要了解什么是过滤器。在Web开发中,...
SpringBoot 接口访问频率限制(二)
04-02
Guava的RateLimiter提供了一种平滑的令牌桶算法,可以根据预设的速率限制请求。而Apache Commons Lang的Stopwatch则可以帮助我们追踪时间,以便在一定时间内限制接口的调用次数。 标签“注解实战”提示我们,我们也...
spring boot(学习笔记第十四课)
最新发布
sealaugh32的专栏
07-20 502
以上练习了基于内存的认证,实际上,正式的系统开发都是使用数据库进行认证,在这里练习使用使用数据库的用户数据进行认证。注意,这样公司的数据库里面是没有用户的明文密码,即使数据库泄露,也不会暴漏用户的明文密码。注意,每次生成的密码都不一样,但是每个生成的都好用。的认证处理,都会使用这个。
Spring Boot 3.3 【三】Spring Boot RESTful API 增删改查详细教程
技术管理修行
07-18 719
本文详细介绍了RESTful架构风格,包括其简介和优势,并通过示例代码展示了如何在Spring Boot中实现RESTful API的增删改查操作,为读者提供了全面且实用的教程。
Spring Boot 中使用 Resilience4j 实现弹性微服务的简单了解
北尘
07-17 355
通过本文的介绍,你应该已经了解了如何在 Spring Boot 项目中配置和使用 Resilience4j 来实现断路器、重试、舱壁、限流器和限时器等功能,Resilience4j 提供了丰富的配置选项和灵活的使用方式,帮助你构建弹性的微服务。
Spring Boot项目的404是如何发生的
bigbearxyz的博客
07-16 1190
在日常开发中,假如我们访问一个Sping容器中并不存在的路径,通常会返回404的报错,具体原因是什么呢?
springboot对指定接口限制访问次数代码实现
05-19
可以通过使用拦截器或者过滤器实现对指定接口的访问次数限制。 以下是使用拦截器实现限制访问次数的示例代码: 1. 创建自定义注解 `@AccessLimit`,用于标记需要限制访问次数的接口。 ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AccessLimit { // 默认访问次数限制为5次 int limit() default 5; // 时间段,单位为秒,默认为60秒 int seconds() default 60; } ``` 2. 创建拦截器 `AccessLimitInterceptor`,用于实现限制访问次数的逻辑。 ```java @Component public class AccessLimitInterceptor implements HandlerInterceptor { @Autowired private RedisTemplate<String, Object> redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 判断是否标注了@AccessLimit注解 if (handler instanceof HandlerMethod) { HandlerMethod handlerMethod = (HandlerMethod) handler; if (!handlerMethod.hasMethodAnnotation(AccessLimit.class)) { return true; } // 获取@AccessLimit注解 AccessLimit accessLimit = handlerMethod.getMethodAnnotation(AccessLimit.class); // 获取接口访问限制次数和时间段 int limit = accessLimit.limit(); int seconds = accessLimit.seconds(); // 获取请求的IP地址和接口地址 String ipAddr = getIpAddress(request); String requestUrl = request.getRequestURI(); // 设置Redis中的Key String redisKey = String.format("%s_%s", ipAddr, requestUrl); // 判断Redis中是否存在Key ValueOperations<String, Object> valueOps = redisTemplate.opsForValue(); if (!redisTemplate.hasKey(redisKey)) { // 第一次访问,设置初始值 valueOps.set(redisKey, 1, seconds, TimeUnit.SECONDS); } else { // 已经访问过,进行访问次数限制判断 int count = (int) valueOps.get(redisKey); if (count >= limit) { // 超出访问次数限制,返回错误信息 response.setContentType("application/json;charset=UTF-8"); response.getWriter().write("超出访问次数限制"); return false; } else { // 访问次数加1 valueOps.increment(redisKey, 1); } } } return true; } /** * 获取请求的IP地址 */ private String getIpAddress(HttpServletRequest request) { String ipAddr = request.getHeader("x-forwarded-for"); if (StringUtils.isBlank(ipAddr) || "unknown".equalsIgnoreCase(ipAddr)) { ipAddr = request.getHeader("Proxy-Client-IP"); } if (StringUtils.isBlank(ipAddr) || "unknown".equalsIgnoreCase(ipAddr)) { ipAddr = request.getHeader("WL-Proxy-Client-IP"); } if (StringUtils.isBlank(ipAddr) || "unknown".equalsIgnoreCase(ipAddr)) { ipAddr = request.getRemoteAddr(); } return ipAddr; } } ``` 3. 在需要限制访问次数的接口上添加 `@AccessLimit` 注解。 ```java @RestController public class DemoController { @GetMapping("/demo") @AccessLimit public String demo() { return "Hello World!"; } } ``` 这样,每个IP地址在60秒内最多只能访问 `/demo` 接口5次。 注意:以上代码仅供参考,实际应用中还需要考虑并发访问、线程安全等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泉绮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值