Springboot 接口限流Reids,限制ip防止暴力登录Aop切面

置顶 于 2024-07-17 12:48:57 发布
阅读量278 收藏 11
点赞数 4
文章标签: spring boot 后端 java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shijunyi888/article/details/140491747
版权

高并发下漏洞桶限流设计方案 - Redis

背景

在我们做社区的时候,经常会出现发水帖的同学。对于这种恶意刷帖的,我们的运营同学很是头疼,而且这种还不能在网关进行ip之类的过滤,只能基于单个单个用户进行处理,我们经常策略就是:每分钟发帖次数不能超过2个,超过后就关小黑屋10分钟。

出现场景:

  1. 上面讲的发帖的防刷机制。
  2. 广告流量的防刷。
  3. 接口请求失败进行熔断机制处理。
  4. ......

解决方案

对于这种“黑恶”请求,我们必须要做到是关小黑屋,当然有的系统架构比较大的,在网关层面就已经进行关了,我们这里是会在业务层来做,因为咱业务不是很大,当然同学们也可以把这个移植到网关层,这样不用穿透到我们业务侧,最少能够减少我们机房内部网络流量。

流程说明

  1. 接口发起请求,服务端获取这个接口用户唯一标识(用户id,电话号码...).
  2. 判断该用户是否被锁住,如果锁住就直接返回错误码。
  3. 未锁住就将该请求标记,亦或者叠加(叠加有坑,往下面看)。
  4. 进行计算当前用户在一定时间内是否超过我们设置的阈值。如果未超过直接返回。
  5. 如果超过,那么就进行锁定,再返回,下次请求的时候再进行判断。

具体方案

以我们场景为例子,使用redis和切面来做分布式锁和原子计数器,时间内叠加,判断叠加值是否超过阈值。

这个方案,在很多人设计的时候,都会考虑,看起来也没有太大问题,主要流程是:

一、pom文件引入aop切面,redis

       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

二、创建RateLimiter,RateLimiterAspect配置文件,工具类

import com.bzfar.enums.LimitType;

import java.lang.annotation.*;

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface RateLimiter {

    /**
     * 限流key
     */
    String key() default "rate_limit:";

    /**
     * 限流时间,单位秒
     */
    int time() default 60;

    /**
     * 限流次数
     */
    int count() default 100;

    /**
     * 限流类型
     */
    LimitType limitType() default LimitType.DEFAULT;
}

import com.aspose.words.net.System.Data.DataException;
import com.bzfar.HeadContext;
import com.bzfar.enums.LimitType;
import com.bzfar.util.RedisUtil;
import com.bzfar.utils.IpUtil;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.After;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;

import java.lang.reflect.Method;

@Aspect
@Component
@Slf4j
public class RateLimiterAspect {

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private RedisUtil redisUtil;


    @Before("@annotation(rateLimiter)")
    public void doBefore(JoinPoint point, RateLimiter rateLimiter) throws Throwable {
        String key = rateLimiter.key();
        Long time = new Long(rateLimiter.time());
        int count = rateLimiter.count();

        String combineKey = getCombineKey(rateLimiter, point);
        String keyCode = key + combineKey.hashCode();
        int number = 1;
        if(redisUtil.hasKey(keyCode)){
            number = (Integer)redisUtil.get(keyCode);
            ++number;
        }
        redisUtil.set(keyCode , number , time);
        if(number > count){
            throw new DataException("访问过于频繁,请稍候再试");
        }
    }

    @After("@annotation(rateLimiter)")
    public void doAfter(JoinPoint point, RateLimiter rateLimiter) throws Throwable {
        String combineKey = getCombineKey(rateLimiter, point);
        redisTemplate.delete(combineKey);
    }

    public String getCombineKey(RateLimiter rateLimiter, JoinPoint point) {
        StringBuffer stringBuffer = new StringBuffer(rateLimiter.key());
        if (rateLimiter.limitType() == LimitType.IP) {
            stringBuffer.append(IpUtil.getIp()).append("-");
        }
        if(rateLimiter.limitType() == LimitType.USER){
            stringBuffer.append(HeadContext.getToken()).append("-");
        }
        MethodSignature signature = (MethodSignature) point.getSignature();
        Method method = signature.getMethod();
        Class<?> targetClass = method.getDeclaringClass();
        stringBuffer.append(targetClass.getName()).append("-").append(method.getName());
        return stringBuffer.toString();
    }
}

三、创建ip获取工具类,和限流方法枚举

import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.net.InetAddress;
import java.net.UnknownHostException;
import java.util.Objects;

@Slf4j
public class IpUtil {

    // 多次反向代理后会有多个ip值 的分割符
    private static final String IP_UTILS_FLAG = ",";
    // 未知IP
    private static final String UNKNOWN = "unknown";
    // 本地 IP
    private static final String LOCALHOST_IP = "0:0:0:0:0:0:0:1";
    private static final String LOCALHOST_IP1 = "127.0.0.1";

    public static String getIp(){
        // 根据 HttpHeaders 获取 请求 IP地址
        HttpServletRequest request = ((ServletRequestAttributes) Objects.requireNonNull(RequestContextHolder.getRequestAttributes())).getRequest();
        String ip = request.getHeader("X-Forwarded-For");
        if (StringUtils.isEmpty(ip) || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("x-forwarded-for");
            if (ip != null && ip.length() != 0 && !UNKNOWN.equalsIgnoreCase(ip)) {
                // 多次反向代理后会有多个ip值,第一个ip才是真实ip
                if (ip.contains(IP_UTILS_FLAG)) {
                    ip = ip.split(IP_UTILS_FLAG)[0];
                }
            }
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = request.getHeader("X-Real-IP");
        }
        //兼容k8s集群获取ip
        if (StringUtils.isEmpty(ip) || UNKNOWN.equalsIgnoreCase(ip)) {
            ip = Objects.requireNonNull(request.getRemoteAddr());
            if (LOCALHOST_IP1.equalsIgnoreCase(ip) || LOCALHOST_IP.equalsIgnoreCase(ip)) {
                //根据网卡取本机配置的IP
                InetAddress iNet = null;
                try {
                    iNet = InetAddress.getLocalHost();
                } catch (UnknownHostException e) {
                    log.error("getClientIp error: ", e);
                }
                assert iNet != null;
                ip = iNet.getHostAddress();
            }
        }
        return ip;
    }
}

import io.swagger.annotations.ApiModel;
import lombok.Getter;

@ApiModel("限流类型")
@Getter
public enum LimitType {

    /** 默认策略全局限流 */
    DEFAULT,

    /** ip限流 */
    IP,

    /**  用户id限流 */
    USER
}

四、接口注解限流

@RateLimiter(time = 60,count = 20 , limitType = LimitType.IP) //代表一分钟限制访问20次同一ip
  @PostMapping("materialLogin")
    @ApiOperation("登录")
    @RateLimiter(time = 60,count = 20 , limitType = LimitType.IP)
    public HttpResult<LoginVO> materialLogin(@Validated @RequestBody BaseLoginDto dto) {
      
        return HttpResult.ok();
    }

总结

  1. 在开始的时候,我一直在想第一个方案的问题所在,后来在讨论方案时候,总是发现时间移动,数值应该是会更改,可在第一个方案内,我们的请求量是不会更改,我们时间段已经固化成数值了。
  2. 整体的方案设计我们使用到的Redis的有序集合来做,当然有更好的方案欢迎大家来推荐哈,这个对于redis的读写压力很大的,但是作为临时的数据存储,这个场景还是比较符合。
  3. 我们redis的所有操作建议使用原子化来进行,这个可以使用官方提供的lua脚本来将多个语句合并成一个语句,并且lua执行速率也是很高。
shijunyi888
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot如何使用AOP+Redis实现接口限流实现全过程(值得珍藏)
01-21
Spring Boot 使用 AOPRedis 实现接口限流是一种高效且实用的方法,用于控制对特定接口的访问频率。以下是实现这个功能的基本步骤: 引入依赖:首先,在 Spring Boot 项目中引入 RedisAOP 的相关依赖。这通常在 pom.xml 文件中完成。 配置 Redis:配置 Redis 连接信息。这包括主机名、端口和密码(如果有的话)。通常,这些信息会被放在 application.properties 或 application.yml 文件中。 创建 Redis 限流器:创建一个类,用于处理与 Redis 相关的限流逻辑。这个类应该使用 Jedis 或 Lettuce 等库来与 Redis 交互。 实现 AOP 切面:创建一个 AOP 切面,用于拦截需要限流接口请求。在切点表达式中,可以指定需要限流的方法或路径。 处理限流逻辑:在切面中,使用之前创建的 Redis 限流器来检查请求是否超过限定的频率。如果超过,可以抛出异常或返回特定的响应。 测试与部署:在开发环境中测试限流功能,确保一切正常。然后,将应用部署到生产环境。
利用spring如何实现接口限流
12-22
利用spring如何实现接口限流 1.创建自定义注解 ** * 限流注解 */ @Inherited @Documented @Target({ElementType.FIELD, ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface AccessLimit { //限流唯一标识 String key() default ""; //限流时间 int time(); //限流次数 int count(); }
【前后端的那些事】SpringBoot 基于内存的ip访问频率限制切面(RateLimiter)
最新发布
qq_62835094的博客
04-16 1477
限流就是在用户访问次数庞大时,对系统资源的一种保护手段。高峰期,用户可能对某个接口的访问频率急剧升高,后端接口通常需要进行DB操作,接口访问频率升高,DB的IO次数就显著增高,从而极大的影响整个系统的性能。如果不对用户访问频率进行限制,高频的访问容易打跨整个服务。
springboot 根据请求IP做的分布式限流
lockie的博客
08-14 4425
在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流 缓存 缓存的目的是提升系统访问速度和增大系统处理容量 降级 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解决后再打开 限流 限流的目的是通过对并发访问/请求进行限速,或者对一个时间窗口内的请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待、降级等处理 缓存的目...
SpringBoot 服务接口限流
小熊
12-24 5491
前言   在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流限流可以认为服务降级的一种,限流通过限制请求的流量以达到保护系统的目的。   一般来说,系统的吞吐量是可以计算出一个阈值的,为了保证系统的稳定运行,一旦达到这个阈值,就需要限制流量并采取一些措施以完成限制流量的目的。比如:延迟处理,拒绝处理,或者部分拒绝处理等等。否则,很容易导致服务器的宕机。 常见限流算法 计数器限流   计数器限流算法是最为简单粗暴的解决方案,主要用来限制总并发数,比如数据库连接池大小、线程池大小、接口访问并
SpringBoot 项目使用 Redis 对用户 IP 进行接口限流
Java知音
07-12 504
一、思路使用接口限流的主要目的在于提高系统的稳定性,防止接口被恶意打击(短时间内大量请求)。比如要求某接口在1分钟内请求次数不超过1000次,那么应该如何设计代码呢?下面讲两种思路,如果想看代码可直接翻到后面的代码部分。1.1 固定时间段(旧思路)1.1.1 思路描述该方案的思路是:使用Redis记录固定时间段内某用户IP访问某接口的次数,其中:Redis的key:用户IP + 接口方法名Redi...
Spring中的限流实现
CCc3120的博客
06-02 389
今天儿童节第二天,俗称‘62节’(杭州的一个说法,哈哈哈,不知道其他地方有没有)。马上又到了618,很多朋友都会在这天上某东、某宝等平台抢购各种商品。对于抢购,顾名思义就是大量用户同时发起下单请求,此时系统将面临突发的大量用户请求,若处理不好,可能导致系统宕机直接被流量打垮导致无法对外提供服务。那为了防止出现这种情况,解决方案当然也有很多,例如无脑增加机器硬件设施,通过监控进行动态扩容,停止其他暂时不重要的服务,全力保障抢购服务的稳定性等等。当然限流也是其中一种方式。
springboot注解+aop实现接口限流
09-07
springboot框架中使用自定义注解,配合切面实现接口限流,增加ip黑名单功能,可实现ip+账号+接口进黑名单,也可以实现账号+ip进黑名单及禁用账号; 可以学会自定义注解使用、自定义响应码枚举及使用、自定义异常类及...
SpringBoot+Redis如何实现用户输入错误密码后限制登录
01-31
为了防止暴力破解和恶意攻击,我们需要在用户尝试登录失败一定次数后限制登录。这不仅可以保护用户的账户安全,还可以减轻服务器的压力。在本文中,我们将使用Spring BootRedis来实现这个功能。 首先,我们需要...
SpringBoot 接口访问频率限制(一)
04-01
除了手动实现外,Spring Cloud Gateway和Spring Cloud Zuul等微服务网关组件也提供了内置的限流功能,可以通过配置规则轻松地实现接口访问频率限制。 总结,Spring Boot中实现接口访问频率限制的方法多样,可以根据...
详解Springboot分布式限流实践
08-25
计数器限流算法是比较常用的一种限流方案,也是最为粗暴直接的,主要用来限制总并发数,比如数据库连接池大小、线程池大小、接口访问并发数等都是使用计数器算法。 三、限流代码实践 下面,我们将详细介绍 ...
Java实战:Spring Boot项目中如何利用Redis实现用户IP接口限流
oandy0的博客
03-03 1216
本文将深入探讨如何在Spring Boot项目中借助Redis实现用户IP级别的接口限流策略,通过具体的代码示例,详细介绍其设计思路与实现过程。
SpringBoot+Redis+Lua实现IP限流
大军的博客
02-13 935
SpringBoot+Redis+Lua实现IP限流
SpringBoot 如何进行限流?老鸟们都这么玩的!
热门推荐
飘渺Jam的博客
10-11 1万+
大家好,我是飘渺。SpringBoot老鸟系列的文章已经写了四篇,每篇的阅读反响都还不错,那今天继续给大家带来老鸟系列的第五篇,来聊聊在SpringBoot项目中如何对接口进行限流,有哪些常见的限流算法,如何优雅的进行限流(基于AOP)。 首先就让我们来看看为什么需要对接口进行限流? 为什么要进行限流? 因为互联网系统通常都要面对大并发大流量的请求,在突发情况下(最常见的场景就是秒杀、抢购),瞬时大流量会直接将系统打垮,无法对外提供服务。那为了防止出现这种情况最常见的解决方案之一就是限流,当请求达到一定的并
我侄子都会的限流算法你都不会?好好看好好学吧!
西八老码
07-26 129
计数器算法 计数器算法是限流算法里最简单易实现的一种算法。比如我们规定,对于A接口来说,我们1分钟的访问次数不能超过100个。那么我们可以这么做:在一开始的时候,我们可以设置一个计数器counter,每当一个请求过来的时候,counter就加1,如果counter的值大于100并且该请求与第一个请求的间隔时间还在一分钟之内,那么说明请求数过多。如果该请求与第一个请求的间隔时间大于1分钟,且counter的值还在限流范围内,那么就重置counter,具体算法的示意图如下: 这个算法虽然很简单,但是却存在一.
(SpringBoot)服务端限流功能
黑l①√Σ月
06-07 592
首先解释下服务端限流,并不是不接受客户端的消息,只是不处理或者少处理客户端的请求.本文涉及以下几个知识点,请同学们复习复习哦!本文也不会过多详细介绍正式进入主题,首先定义一个枚举变量作为限流类型使用 接着定义一个注解类 然后就再定义Aspect类,限流逻辑处理 在定义一个自定义异常,方便异常捕获处理 这里使用到redis时,还会用到lua脚本,在项目的resource里创建lua保存以下代码 代码意思也不复杂,做计数计算.再写个配置类,注入bean 全局异常处理 这样就完成所需的
springboot 自定义注解+拦截器+Redis实现ip限流
Black794的博客
02-09 754
自定义注解(具体频次可以根据具体使用场景调整)/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数/**/*** 指定时间 单位:秒/*** 指定时间内API请求次数RequestInterceptor拦截器/*** RequestInterceptor拦截器.
Java--业务场景:SpringBoot 通过Redis进行IP封禁实现接口防刷
芝麻馅的博客
01-08 1531
在实际项目中,有些攻击者会使用自动化工具来频繁刷新接口,造成系统的瞬时吞吐量提高,给系统带来很大的压力。要保障服务的安全性,需要防止重要的接口被恶意刷新,接口防刷的方式可以通过设置验证码,IP封禁,安全参数校验等方法。本文主要采用Redis将同一时间内频繁访问同一接口IP封禁一段时间的方式来防止接口被恶意刷新。
SpringBoot+AOP+Redis实现接口限流详细教程
本文将详细介绍如何在SpringBoot应用中利用AOPRedis实现接口限流,以保护系统免受过载并有效管理资源。接口限流是微服务架构中不可或缺的一环,它能防止恶意或异常的高频率请求导致服务崩溃。 1. 引入依赖 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值