SpringCloud微服务安全(二)API安全 2-3 限流实现注入攻击防护

最新推荐文章于 2024-06-22 08:00:00 发布
最新推荐文章于 2024-06-22 08:00:00 发布
阅读量371 收藏 2
点赞数
分类专栏: # SpringCloud Finchley微服务实战 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42405670/article/details/116328920
版权

1. 概念

流控,流量控制,只放系统能处理的请求的数量过去,处于api安全链路的第一关。

为什么要做流控?保证系统的可用性,防止大流量把系统给压死。流控的位置做在认证、审计、授权等整个安全机制的最前边,提前控制流量,避免其他无用的资源浪费。

如果没有流控放在第一道档线,攻击者弄一堆肉鸡,发起DDOS攻击,即使你后边的认证、审计、授权 做得再好,也可能把你的服务压死。

比如系统每秒只能处理500个请求,那么每秒就放500个请求过去,多了的请求直接拒绝掉,这样的话系统不会被压死。实际中的流控是非常复杂的,不是简单地设个数就完了。

2. 流控做在哪?

实际开发中限流可以在很多地方做的, 比如:

  1. 负载均衡上做,
  2. 在反向代理上做,

在负载均衡或反向代理层面上做限流,实际上一般是针对真个集群做的限流。比如你一个用户服务,实际部署的时候可能是四个机器或者八个机器的集群,在负载均衡或反向代理层面做的集群就是真对整个集群做的限流,整个集群能撑多少流量,做个限流。

3. 在自己的应用代码上做。

只针对单个应用的节点做的流控,跟反向代理、负载均衡做的限流不是一个维度的,如果能配的话,把两边都配上,他们并不冲突。后边会介绍通过框架控制集群的流量。

3. 使用Guava做简单的限流

3.1 在pom引入最新的guava依赖

<!-- https://mvnrepository.com/artifact/com.google.guava/guava -->
<dependency>
  <groupId>com.google.guava</groupId>
  <artifactId>guava</artifactId>
  <version>28.1-jre</version>
</dependency>

3.2 限流器代码

/**
 * @ClassName RateLimitFilter
 * @Description TODO
 * @Author wushaopei
 * @Date 2020/10/15 23:40
 * @Version 1.0
 */
@Component
public class RateLimitFilter extends OncePerRequestFilter {

    private RateLimiter rateLimiter = RateLimiter.create(1);

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 当前请求未执行完成,则其他请求不进入,打印 too many request
        if(rateLimiter.tryAcquire()){
            filterChain.doFilter(request,response);
        }else{
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("too many request!!");
            response.getWriter().flush();
            return;
        }
    }
}

3.3 启动限流器后发起密集请求的结果:

3.4关于RateLimiter的参数:

RateLimiter经常用于限制对一些物理资源或者逻辑资源的访问速率

修饰符和类型方法和描述
static RateLimitercreate(double permitsPerSecond)
根据指定的稳定吞吐率创建RateLimiter,这里的吞吐率是指每秒多少许可数(通常是指QPS,每秒多少查询)
boolean

tryAcquire()
从RateLimiter 获取许可,如果该许可可以在无延迟下的情况下立即获取得到的话

简单理解就是,许可没有被请求占用,如果被占用说明有请求未完成。

鮀城小帅
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Spring Cloud Alibaba微服务架构实战教程—16微服务对频繁ip访问限制
空空说技术的博客
06-09 894
前言 在系统上线后,为了避免一些爬虫或者是恶意请求,我们通常会对访问规律性强,访问速度过快,连续访问时间过长的ip地址进行访问限制,限流。 比如一秒200次访问即视为非法,会阻止10分钟的访问。——可以通过ip + token方式进行限制。 ip限制机制放在哪里? 对于ip的限流机制,可以放在各个微服务内部来做,也可以放到gateway网关中来建立,这么多方案,到底放在哪来做限流比较合适呢? 答案是:网关层,因为它是系统的最外层,限流放置在这层才最合适。 在单体应用中,就是nginx层,可以利用ngin
微服务】springboot 整合 SA-Token 使用详解
最新发布
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
SpringCloud微服务安全API安全 2-7 授权
喜欢历史的码农
05-20 198
1. 授权 访问控制: 1. ACL :Access Control Lists,直接给每个用户授权,他能访问什么。开发简单,但是用户多的话,给每个用户授权比较麻烦。 2. RBAC:Role Based Access Control。给角色授权,给用户赋予角色。授权简单,开发麻烦。 2.ACL来实现简单的权限控制 方式:在用户表里加入permission字段标识权限。 2.1 创建 AclInterceptor 权限拦截 package com.imooc.security.filte
SpringCloud微服务安全API安全 2-2 注入攻击防护
喜欢历史的码农
05-20 450
1. 创建 API 1.1 创建 SpringBoot 工程 this-user-api 1.2 创建实体类 User @Entity @Data public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY)// 指定该属性为底层数据库的主键策略 private Long id; @Column private String name; @Column(
SpringCloud安全实战(一)-API及其安全机制
JavaEdge全是干货的技术号
03-13 6064
我们的重点是 完整知识体系 达到系统性的思考 API安全 API? 与因特网相连的端系统提供了一个应用程序接口(英语:Application Programming Interface,缩写:API;又称为应用程序编程接口)是软件系统不同组成部分衔接的约定。 API规定了运行在一个端系统上的软件请求因特网基础设施向运行在另一个端系统上的特定目的地软件交付数据的方式。比方说:Ali...
提高微服务安全性的11个方法
琦彦
12-21 8809
原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 目录 为什么选择微服务? 1.通过设计确保安全 OWASP 2.扫描依赖 3.随处使用HTTPS 安全的GraphQL API 安全的RSocket端点 4.使用身份令牌 授权服务器:多对一还是一对一? 在JWT上使用PASETO令牌 5.加密和保护密钥 6.通过交付流水线验证安全性 7.降低攻击者的速度 8.使用Docker Rootl..
SpringCloud微服务框架的原理及应用详解(三)
凛鼕将至的博客
06-22 794
​ Spring Cloud是一个基于Spring Boot实现的服务治理工具包,在微服务架构中用于管理和协调服务。它提供了一系列框架和组件,如服务发现、配置管理、熔断器、智能路由等,用于简化分布式系统的开发。Spring Cloud通过提供一系列开箱即用的组件和工具,帮助开发者快速构建和部署微服务架构的系统。 本文将跟随《SpringCloud微服务框架的原理及应用详解()》的进度,继续介绍Spring Cloud框架。希望通过本系列文章的学习,您将能够更好地理解Spring
本文将以一个实际案例——Spring Cloud + Spring Boot进行演示,阐述如何将单体应用架构迁移到微服务架构上时,如何实现安全防护
禅与计算机程序设计艺术
10-09 725
近年来,微服务架构越来越流行,人们期待着微服务可以带来更好的灵活性、弹性和可扩展性,能够应对复杂的业务场景。但是,如何从传统的单体应用架构逐步过渡到微服务架构,并确保安全性是一个重要的课题。随着微服务架构越来越流行,一些企业也开始考虑将现有的单体应用架构迁移到微服务架构上。然而,在将单体应用架构迁移到微服务架构之前,需要做好相关的安全措施,防止数据泄露、信息泄漏、攻击安全风险发生。
SpringCloud Security:实现微服务安全控制
# 1. 引言 ## 1.1 微服务架构背景 随着互联网的迅速发展和用户对个性化需求的不断增加,传统的单体架构已经难以满足快速开发和灵活部署的需求。微服务架构应运而生,通过将系统拆分成一...## 1.3 SpringCloud Secur
实现微服务安全控制:Spring Cloud Security
# 1. 简介 ## 1.1 微服务架构概述 ...微服务架构中的安全控制需要确保服务的认证、授权、通信安全等方面,以防止数据泄露、数据篡改等安全问题。 ## 1.3 Spring Cloud Security简介 Spring Cloud Securi
安全狗漏洞通告|Spring Cloud Function SPEL表达式注入漏洞解决方案
bocco的博客
03-28 1771
近日,安全狗应急响应中心监测到Spring Cloud官方修复了一个Spring Cloud Function中的SPEL表达式注入漏洞。
Spring Cloud Zuul防DDOS攻击
shendixiong的专栏
11-13 2777
前一段时间,公司的短信服务经常收到预警,当时初步猜测我们的短信服务受到了攻击,于是想到了两种实现方案。 方案一: 采用nginx防止DDOS(网上有很多案例可以借鉴) 方案: 采用Spring Cloud Zuul(网关)层实现防DDOS 因考虑如果使用nginx层进行防DDOS拦截,会导致线上的其他服务受到影响,并且使用nginx拦截无法像Z...
几行代码,搞定 SpringBoot 接口恶意刷新和暴力请求!
weixin_44421461的博客
08-02 98
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
springcloud——并发请求处理方案
tang_seven的博客
04-07 2307
简单记录一下基于springcloud下的面对并发请求的处理方案:主要包括业务层面处理、数据库利用update锁保底、基于redis原子性递减控制请求数、利用mq进行流量削峰、使用限流算法进行限流、使用分布式锁等方式。
SpringCloud Gateway网关基于令牌桶限流
ZhangDaPeng917的博客
08-14 2197
微服务中每个服务都是独立的,当系统频繁的请求时,比如秒杀业务,如果请求量大于系统承载量的时,如果系统不做任何的限量处理,就有可能在某段时间节点涌入大量的请求从而导致系统被压垮,根据上述情况我们就可以在网关内做限流,因为所有请求都需要先经过网关,通过网关把请求路由到具体的微服务中。...
SpringCloud微服务网关限流
wangleleb的博客
02-09 2643
1.限流的两种实现方式 1.nginx限流 在nginx中,通过限流可以规定一个一个地址映射每一秒可以被访问多少次,甚至是限制每一个用户(这里的用户指的是访问改地址映射的用户的IP)在规定的时间内可以访问的次数,防止用户多次操作或者是恶意请求攻击服务。 2.网关限流 网关可以提供用户统一的访问入口,在Nginx限流过后,依然会有很大一波流量会承载的网关上,那这个时候的限流是针对于网关甚至是针对于网......
SpringCloud(一) 微服务安全实战 API安全机制
xy294636185的博客
03-30 900
开发环境: JDK,STS,MySql PGA(Promethus,Grafana,AlertManager) ELK(Elastic Search, 1.判断当前请求是否需要身份认证 没有返回401 2.判断有没有权限 没有返回403 访问控制 ACL:Access Control Lists:简单易用,实现容易。无法满足复杂的业务需求,不易管理 RBAC:Role Based Access Control:引入角色(客服)概念,简化管理。开发起来相对于ACL复杂 ...
Spring cloud 限流的多种方式
qq_38470315的博客
03-28 2871
在频繁的网络请求时,服务有时候也会受到很大的压力,尤其是那种网络攻击,非法的。这样的情形有时候需要作一些限制。本文主要介绍了两种限流方法,感兴趣的可以了解一下目录在频繁的网络请求时,服务有时候也会受到很大的压力,尤其是那种网络攻击,非法的。这样的情形有时候需要作一些限制。例如:限制对方的请求,这种限制可以有几个依据:请求IP、用户唯一标识、请求的接口地址等等。当前限流的方式也很多:Spring cloud 中在网关本身自带限流的一些功能,基于 redis 来做的。
Java项目中,快速防范国外ddos攻击的很简单的常用几种方法,分享发现-分析-解决全过程(1)
hnsgsdsagaaq的博客
04-17 817
分析==刚开始,我还怀疑是数据库的问题,排查了一圈,发现不是。尝试着更换了一下web服务访问端口,居然好了,定位到端口,但还是没有找到具体原因。这时,我在访问入口,新增访问日志代码(即获取访问时间+访问外网ip)后,发现启动项目一瞬间,好几千个访问日志,抽查了一下,发现全是国外IP,这是才意识到被ddos攻击了。解决==解决方法一通过域名解析配置,把国外的IP,全部拦住,解析到攻击者服务器,具体配置如下:在我这儿,没有解决,说明对方是直接攻击IP地址的。解决方法
AG-Admin:Spring Cloud微服务框架实战指南
Spring Cloud是实现微服务架构的重要工具集,它简化了服务发现、配置中心、负载均衡、熔断器等关键组件的集成。 2. **AG-Admin核心特性** - **服务注册与发现**:利用Eureka或Consul等服务发现组件,实现服务之间...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值