单个用户及Ip请求频率限制思路(附java实现)

最新推荐文章于 2024-03-25 14:49:14 发布
最新推荐文章于 2024-03-25 14:49:14 发布
阅读量425 收藏 1
点赞数
文章标签: java python
原文链接:https://my.oschina.net/vakinge/blog/1575872
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

我们熟悉的限流算法漏桶和令牌桶外,很多情况我们还需要考虑当个用户(ip)访问频率控制,避免被恶意调用。如果是开放平台限制一天调用多少次这种粗放的粒度相对好处理一些。如果需要更小时间粒度控制,譬如一个10秒时间窗口最大只允许访问10次,相对上述粗放粒度我们还需要考虑性能和边界两个问题。在这里提供一种思路给大家,这个也是我写的api网关访问频率控制的代码,经过了线上环境实践。

推荐: jeesuite开发框架,免费开源、一站式解决方案。

思路(以10秒限制10次为例)

定义一个全局map

  • key为用户标识(ip or sessionId),
  • value:List<10秒内访问时间戳>
private Map<String, List<Long>> accessDatas = new ConcurrentHashMap<>();

启动一个定时器,用于清除10秒前的访问时间

cleanScheduledExecutor.scheduleAtFixedRate(new Runnable() {
        @Override 
        public void run() {
          long currentTime = System.currentTimeMillis();

          List < Long > accessPoints = null;
          Iterator < String > idsIterator;
          if (gloabalScanFlag == 5) {
            //清理空记录
            if (cleanNulling = accessDatas.size() > cleanNullSize) {
                log.debug("cleanNulling...");
                Set < String > keys = accessDatas.keySet();
                for (String key: keys) {
                    List < Long > points = accessDatas.get(key);
                    if (points.isEmpty()) {
                        points = null;
                        accessDatas.remove(key);
                    }
                }
                cleanNulling = false;
            }

            idsIterator = accessDatas.keySet().iterator();
            gloabalScanFlag = 0;
        } else {
            idsIterator = maybeFullIds.iterator();
            gloabalScanFlag++;
        }

        while (idsIterator.hasNext()) {
            accessPoints = accessDatas.get(idsIterator.next());
            //
            removeExpirePoints(accessPoints, currentTime);
        }
    }

},
1000, 1000, TimeUnit.MILLISECONDS);

移除过期的请求时间戳记录

private int removeExpirePoints(List<Long> ponits,long currentTimeMillis){
		int removeNums = 0;
		if(ponits == null || ponits.isEmpty()){
			return removeNums;
		}
		Iterator<Long> pointsIterator = ponits.iterator();  
		while (pointsIterator.hasNext()) {
			if(pointsIterator.next().compareTo(currentTimeMillis - timeWindowMillis) <= 0){
				pointsIterator.remove();
				removeNums++;
			}else{
				break;
			}
		}  
		
   return removeNums;
}

频控检查

/**
 * 访问频率检查
 * @param identification 用户标识(ip or sessionId)
 * @param uri
 * @return
 * @copyright http://www.jeesuite.com
*/
private boolean requestFrequencyCheck(String identification, String uri) {

    while (cleanNulling);

    boolean result = false;
    long currentTime = System.currentTimeMillis();
    List < Long > accessPoints = accessDatas.get(identification);
    try {
        if (accessPoints == null) {
            accessPoints = new Vector < >(permits);
            accessDatas.put(identification, accessPoints);
        }

        int size;
        if ((size = accessPoints.size()) < permits) {
            if (size >= putFullQueueSize) {
                maybeFullIds.add(identification);
            }
            result = true;
        } else {
            int removeNums = removeExpirePoints(accessPoints, currentTime);
            result = removeNums > 0;
        }
        return result;
    } finally {
        accessPoints.add(currentTime);
    }
}

完整代码:https://gitee.com/vakinge/jeesuite-apigateway/blob/master/src/main/java/com/jeesuite/apigateway/helper/PerFrequencyLimiter.java

转载于:https://my.oschina.net/vakinge/blog/1575872

weixin_34234721
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx 限流模块:限制高并发和IP访问频率
Bertram的博客
10-09 3470
nginx 限流模块:限制高并发和IP访问频率
限流(服务降级):基于自定义注解+切面的方式实现接口调用频率限制
最新发布
iOS逆向与安全
06-07 106
背景:提供接口给下游(外部厂商)的接口,通过控制IP地址来限制接口的调用频率,可以有效保护系统的稳定性和安全性。限制接口调用频率实现方案: 2.1 检查IP是否超过频率限制 (无法灵活控制限制时间范围) 共用一个RateLimiter,无法灵活控制限制时间范围。使用CacheBuilder来构建LoadingCache实例,可以链式调用多个方法来配置缓存的行为。其中CacheLoader可以理解为一个固定的加载器,在创建LoadingCache时指定,然后简单地重写V load(K key) throws
Java获取真实访问IP
scdncby的博客
05-28 297
Java获取真实访问IP public String getIpByRequest(HttpServletRequest request) { String ip = request.getHeader("x-forwarded-for"); if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) { // 多次反向代理后会有多个i
根据登陆ip限制1分钟最多10次服务请求,须支持单机并发场景,请使用java代码原生实现
m0_59849460的博客
04-14 1752
由于业务系统服务接口被竞对高频爬取,我们需要上线一个防刷限流功能。场景要求如下:根据登陆ip限制1分钟最多10次服务请求,须支持单机并发场景,请使用java代码原生实现(勿使用中间件redis、计数器之类方案)。
基于中间件访问频率限制 每分钟时间间隔最多访问3次
weixin_30363817的博客
03-31 351
同一个IP 1分钟时间间隔只能访问三次 1. 拿到用户请求IP 2. 当前请求的时间 3. 记录访问的历史 VISIT_RECORD ={ 'ip':[] } class Throttle(MiddlewareMixin): def process_request(self,request): # print(request.META...
根据IP限制指定时间内访问接口的次数
Muscleheng的博客
06-12 7070
在网上看见有人问一个问题:想限制一下某个接口在一分钟之内只能被同一个ip请求指定次数。 方法比较多,这里就用Redis做一个简单的限制。 大致逻辑: 把请求ip作为key,请求次数作为value存储在Redis里面,第一次请求value为1,以后每次请求加1,设置过期时间60s, 每次请求都重置过期时间,每次请求过来都需要判断value是否大于指定次数即可; springBoot ...
nginx限制某个IP同一时间段的访问次数
地主
06-29 1005
如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题,特别面对恶意的ddos攻击的时候。其中CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。cc攻击一般就是使用有限的ip数对服务器频繁发送数据来达到攻击的目的,nginx可以通
java 频率控制_单个用户Ip请求频率限制思路(java实现)
weixin_39867066的博客
02-16 1197
我们熟悉的限流算法漏桶和令牌桶外,很多情况我们还需要考虑当个用户(ip)访问频率控制,避免被恶意调用。如果是开放平台限制一天调用多少次这种粗放的粒度相对好处理一些。如果需要更小时间粒度控制,譬如一个10秒时间窗口最大只允许访问10次,相对上述粗放粒度我们还需要考虑性能和边界两个问题。在这里提供一种思路给大家,这个也是我写的api网关访问频率控制的代码,经过了线上环境实践。推荐: jeesuite开...
SpringBoot 接口访问频率限制(一)
04-01
本文将深入探讨如何在Spring Boot应用中实现接口访问频率限制。 Spring Boot是Java生态中的一个流行框架,它简化了创建独立、生产级别的基于Spring的应用程序。当我们谈论"频率控制代码",通常是指一种策略,即限制...
java发送短信系列之限制日发送次数
09-02
Java实现短信发送功能时,为了防止恶意攻击或误操作导致大量短信的滥用,通常需要对同一用户(通过手机号码和IP地址识别)的日发送次数进行限制。本篇将详细介绍如何在Java环境中实现这个功能。 1. **数据表结构*...
Java编程系列】Springcloud-gateway自带限流方案实践篇
Yangy的博客
05-22 1753
在实践过程中,有2个点需要注意:①第一点,yml中的配置一定要注意缩进格式,以及path路径的配置(我一开始就是路径少写了,导致没生效;缩进不对会导致启动报错)②第二点,redis中的限流存储的key值,只有在请求执行过程中才会查看的到,请求结束后不一会儿,key就会被删除,看不到这个key值啦(刚开始我去查询key值就是在执行结束之后,一直看不到key值效果)
网站nginx配置限制单个IP访问频率,预防DDOS恶意攻击
01-20 7045
一、简介 对于网站来说,尤其是流量较大出名的网站,经常遇到攻击,如DDOS攻击等,虽然有些第三方,如Cloudflare可以挡,但对于动态网站PHP来说,只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。 nginx两个限流模块: 连接频率限制,ngx_http_limit_conn_module:官方文档 请求频率限制,ngx_http_limit_req_module:官方文档 二、两者模块区别 首先理解请求和连接,HTTP请求建立在一次TCP连接基础上, 一次TCP
springboot项目通过ip和url限制用户请求次数
搬砖狗-小强的专栏
07-30 2594
通过拦截器,我们设置了1分钟内同一个ip和ur如果请求超过25次就提醒超过了限定的次数。
SpringBoot 接口访问频率限制(二)
qq_40694890的博客
03-25 2323
Spring注解实现频率控制
SpringBoot实现请求频率限制,基于aop实现
热门推荐
u014525228的博客
06-22 1万+
GitHub:https://252956.github.io/ 源代码:https://gitee.com/xyy12611/springboot-link-admin 理论知识 1.说明 请求评率限制就是单位时间内用户请求次数的限制,超过规定次数,限制用户行为(一般拒绝访问或者消息提示)。本次讲解思想是在业务代码中,对标明的方法进行拦截限制。当然,你也可以在网络层、网关、路由等统一入口...
springboot相同IP限制接口访问次数(AOP事物)
befroe_You的博客
11-05 8618
应用场景:应项目需求,前后台分离,增强接口安全,限制相同IP访问接口的次数有限 解决:在项目中增加事物,在进接口方法钱处理 思路: 1)@Before 在进入接口方法之前进入处理,within里面的书写表示写在控制器上方并且有对应注解的控制器会来到这里。 2)用获取的IP+对应url作为key,存到redis中,如果Redis存在这个key,然后时间处理器在超过设置时间时,会将相应的key...
web api 限制单个IP在一定时间内访问次数
weixin_33859665的博客
01-22 2493
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值