API接口-假定时间内限制访问次数-限频率

最新推荐文章于 2024-05-15 16:10:34 发布
最新推荐文章于 2024-05-15 16:10:34 发布
阅读量3k 收藏 9
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42477252/article/details/109706906
版权

API接口-假定时间内限制访问次数-限频率

在实际项目中,往往需要对一些公开的接口进行限制在一定时间内的访问次数,避免他人的恶意攻击占用系统资源。

方案:设置拦截器,每次访问记录ip地址+访问URL作为key,使用redis按key查询是否有访问记录。如果未有访问redis记录,redis记录这次访问,如果redis查询到有访问次数,比较系统限制次数是否大于现在访问次数,大于则放行,小于等于则拒绝。(redis存储带过期时间,过期后自动清除)

            String key = IpUtils.getIpAddr(request) + request.getRequestURI();
            Integer maxLimit = redisTemplate.opsForValue().get(key);
            if (maxLimit == null) {
                redisTemplate.opsForValue().set(key, 1, sec, TimeUnit.SECONDS);  //set时一定要加过期时间
            } else if (maxLimit < limit) {
                redisTemplate.opsForValue().set(key, maxLimit + 1, sec, TimeUnit.SECONDS);

以SpringBoot为基础

1.导包

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.9</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.54</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

2.application.properties配置Redis服务信息

spring.redis.database=0
spring.redis.host=localhost
spring.redis.port=6379
spring.redis.timeout=5000

3.准备封装所需要工具类

IpUtils

/**
 * 获取IP方法
 *
 */
public class IpUtils
{
    public static String getIpAddr(HttpServletRequest request)
    {
        if (request == null)
        {
            return "unknown";
        }
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))
        {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))
        {
            ip = request.getHeader("X-Forwarded-For");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))
        {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))
        {
            ip = request.getHeader("X-Real-IP");
        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))
        {
            ip = request.getRemoteAddr();
        }
        //ip = EscapeUtil.clean(ip);// 清除Xss特殊字符
        return "0:0:0:0:0:0:0:1".equals(ip) ? "127.0.0.1" : ip;
    }


}

4.注解类用于标注需要限制的接口

默认5秒内限制最多5次访问

@Inherited
@Documented
@Target({ElementType.FIELD,ElementType.TYPE,ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface AccessLimit {
    int limit() default 5;
    int sec() default 5;
}

5.编写拦截器类

AccessLimitInterceptor

无AccessLimit注解放行,有则拦截处理

@Component
public class AccessLimitInterceptor implements HandlerInterceptor {
    @Resource
    private RedisTemplate<String, Integer> redisTemplate;  //使用RedisTemplate操作redis
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            if (!method.isAnnotationPresent(AccessLimit.class)) {
                return true;
            }
            AccessLimit accessLimit = method.getAnnotation(AccessLimit.class);
            if (accessLimit == null) {
                return true;
            }
            int limit = accessLimit.limit();
            int sec = accessLimit.sec();
            String key = IpUtils.getIpAddr(request) + request.getRequestURI();
            Integer maxLimit = redisTemplate.opsForValue().get(key);
            if (maxLimit == null) {
                redisTemplate.opsForValue().set(key, 1, sec, TimeUnit.SECONDS);  //set时一定要加过期时间
            } else if (maxLimit < limit) {
                redisTemplate.opsForValue().set(key, maxLimit + 1, sec, TimeUnit.SECONDS);
            } else {
                output(response, "请求太频繁,请稍等再试!");
                return false;
            }
        }
        return true;
    }
    public void output(HttpServletResponse response, String msg) throws IOException {
        response.setContentType("application/json;charset=utf-8");
        Map<String,Object> map=new HashMap<>();
        map.put("code",2020);
        map.put("msg",msg);
        ObjectMapper om = new ObjectMapper();
        PrintWriter out = response.getWriter();
        out.write(om.writeValueAsString(map));
        out.flush();
        out.close();
    }
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    }
}

6.注册拦截器,并设置需要拦截的URL

@Configuration
public class ResourcesConfig implements WebMvcConfigurer {
    @Autowired
    AccessLimitInterceptor accessLimitInterceptor;

    /**
     * 自定义拦截规则
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry)
    {
        registry.addInterceptor(accessLimitInterceptor).addPathPatterns("/**");
    }
}

7.测试接口类

@RestController
public class TestController {

    @AccessLimit
    @GetMapping("/get1")
    public Object get(){
        System.out.println("get1");
        Map<String,Object> map=new HashMap<>();
        map.put("code",2021);
        map.put("msg","success get1");
        return map;
    }

    @GetMapping("get2")
    public Object get2(){
        System.out.println("get2");
        Map<String,Object> map=new HashMap<>();
        map.put("code",2022);
        map.put("msg","success get2");
        return map;
    }
}

结果:

get1

5秒内连续访问超5次,访问失败

 

热水养鲨鱼
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API 调用次数限制实现
07-03
我们在开发接口服务器的过程中,为了防止客户端对于接口的滥用,保护服务器的资源, 通常来说我们会对于服务器上的各种接口进行调用次数限制
api-umbrella:开源API管理平台
02-03
API伞 什么是API伞? API伞是用于公开Web服务API的开源API管理平台。 API伞的基本目标是使API创建者和API使用者的生活更加轻松。 怎么样? 使API创建者的生活更轻松:允许API创建者专注于构建API。 标准化无聊的东西:如果可以访问API,则可以假定API已经假定无聊的东西(访问控制,速率限制,分析等)已经得到注意,因此不需要在API代码中实现常见功能。 易于添加: API伞充当API之上的一层,因此无需修改API代码即可利用所提供的功能。 可扩展性:使扩展API更容易。 使API使用者的生活更加轻松:让API使用者轻松探索和使用您的API。 统一不同的API:将单独的API作为有凝聚力的产品提供给API使用者。 可以在单个端点上为API使用者公开运行在不同服务器上或以不同编程语言编写的API。 标准化访问:可以使用相同的API密钥凭据访问所有API。 标准化文档:所有API都以相似的方式在一个地方记录下来。 下载 二进制包可供。 按照下载页面上的快速设置说明开始运行API伞。 入门 一旦启动并运行了API伞,您可以执行多种操作来开始使用该
Java接口限制请求次数
最新发布
柠檬味的cat的博客
05-15 723
Java接口限制请求次数
在ASP.NET MVC下限制同一个IP地址单位时间间隔内的请求次数
FeiShiH的博客
07-09 1188
转自:https://www.cnblogs.com/darrenji/p/4446767.html 备注:限制次数是使用这个过滤器次数的集合,并不是限制单个控制器的次数
API流-利用Redis限制API在X分钟内的调用次数
CoreCmd的博客
07-05 1488
背景 在对外开放我们的API的时候,有时候API调用不一定是来自于我们的APP或者网站。若是一个资源网站,极有可能会遇到爬虫来盗刷我们的数据。导致短时间API的调用猛增,耗费服务器资源。因此需要在某些需要查数据库、文件等的API处,增加API调用频率限制。 我的思路 某API 1分钟内调用次数限制思路 ---- 利用redis进行流。 ** 若是负载均衡的api,则在进行判断的时候,要用redis提供的分布式锁setnx进行互斥执行以下步骤** 假设API的地址为: /api/resource/l
公司的API接口被刷了,那是因为你没这样做!
勇往直前的专栏
12-18 746
作者:海向来源:cnblogs.com/haixiang/p/12012728.html api流的场景 流的需求出现在许多常见的场景中 1.秒杀活动,有人使用软件恶意刷单抢货,需要流防止机器参与活动 2.某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理流 3.淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要流,更具有实...
API 接口防刷(接口请求次数限制
仰望-星空~~的博客
08-19 1285
创建自定义的注解请求限制的自定义注解@Target 注解可修饰的对象范围,ElementType.METHOD 作用于方法,ElementType.TYPE 作用于类(ElementType)取值有:1.CONSTRUCTOR:用于描述构造器2.FIELD:用于描述域3.LOCAL_VARIABLE:用于描述局部变量4.METHOD:用于描述方法5.PACKAGE:用于描述包6.PARAMETER:用于描述参数7.TYPE:用于描述类、接口(包括注解类型) 或enum声明。
mvc控制ip访问次数的demo
08-22
这是一个可以控制同一ip在特定时间访问某一页面次数的demo,可以限制每秒每分钟每小时每天的次数,防止一般的攻击
New-York-Times-API-fetch-lab
05-07
《纽约时报》将假定您是一名计划开发使用其API的应用程序的开发人员。 由于我们不是真正的应用程序,并且我们只是在实验室中使用这些API,因此您可以创建一个新应用程序并将其称为“ Marcy Lab Practice”。 向下...
micro-api:使用JSON-LD的简洁Web超媒体API格式
05-17
Micro API通过将限制为可以可靠地遍历而无需使用处理算法的子集,从而简化了 。 它的设计看起来像原始的JSON,并且一般不会假定具备JSON-LD,RDF,OWL和语义Web的任何先验知识。 目标是将这些概念简化为尽可能最小...
遵循Python DB API 2.0规范的Oracle数据库的Python接口-python
06-18
遵循Python DB API 2.0规范的Oracle数据库的Python接口 开源 Python/Oracle 实用程序 - cx_Oracle cx_Oracle 是一个 Python 扩展模块,可用于访问 Oracle 数据库并符合 Python 数据库 API 2.0 规范,其中包含大量...
faxplus-php:PHP SDK使用FAX.PLUS API
05-14
另外,响应中返回的所有日期和时间均以UTC为单位拥有access_token后,您可以轻松地使用基本URL 向资源服务器发送请求,以访问允许的资源。 作为获取用户个人资料信息的示例,当授权标头设置为“ Bearer YOUR_ACCESS...
Redis实现API访问频率限制
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
10-01 775
猫头虎博主在此与大家分享一下如何使用Redis实现API接口访问频率限制的技术实践。在现代Web应用和移动应用的开发中,为了保护服务器资源和保证服务的可用性,通常需要对API接口访问频率进行限制。通过Redis,我们可以轻松实现这个目标。本文将详细介绍如何利用Redis的数据结构和命令,设计和实现一个高效的API访问频率限制系统。同时,本文也会通过实际的代码示例和表格,展示如何在不同的场景下应用这个系统。通过Redis的有序集合和相关命令,我们可以轻松实现一个基本的API访问频率限制系统。
限制后端接口访问次数
cherish_heart的博客
06-23 2814
限制后端接口访问次数
根据IP限制指定时间访问接口次数
Muscleheng的博客
06-12 6990
在网上看见有人问一个问题:想限制一下某个接口在一分钟之内只能被同一个ip请求指定次数。 方法比较多,这里就用Redis做一个简单的限制。 大致逻辑: 把请求的ip作为key,请求次数作为value存储在Redis里面,第一次请求value为1,以后每次请求加1,设置过期时间60s, 每次请求都重置过期时间,每次请求过来都需要判断value是否大于指定次数即可; springBoot ...
系统运维系列 之java控制api接口请求次数
langxiaolin的博客
06-02 1340
1 前言: 本篇博客运用的背景是:控制并发数量;防止恶意恶意侵占资源,导致正常的请求无法响应;用于接口限制的其它用途。 2 使用到的技术: 2.1 Java过滤器: 过滤器是处于客户端与服务器资源文件之间的一道过滤网,在访问资源文件之前,通过一系列的过滤器对请求进行修改、判断等,把不符合规则的请求在中途拦截或修改。也可以对响应进行过滤,拦截或修改响应。 简单理解就是过滤器是客户端请求服务器的一种规则设定,符合规则的会递交给下一个过滤器过滤,或者直接可以访问资源文件;如果不符合规则,就会被过滤器过滤掉,不再进
php限制用户组接口访问频率,API访问频率限制的解决方案
weixin_33476081的博客
03-21 257
有时候我们需要限制一个API访问频率,例如单用户一分钟之内只能访问多少次。 类似于这样的需求很容易用Redis来实现。require('predis/src/Autoloader.php');$redis = new Predis\Client(array( 'scheme' => 'tcp', 'host' => '127.0.0.1', 'port' =&gt...
API访问频率限制的解决方案
weixin_34319111的博客
08-03 4838
2019独角兽企业重金招聘Python工程师标准>>> ...
API调用次数限制实现
热门推荐
chenglinhust的专栏
05-21 2万+
API调用次数限制实现 参考资料:     1. https://zhuanlan.zhihu.com/p/20872901?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io Token BucketRedis IncrRedis EvalBetter Rate Limiting Wit
旅行社游客信息管理系统条件、假定和所受到的限制
04-25
旅行社游客信息管理系统的条件、假定和所受到的限制是: 条件: - 该系统需要能够管理所有游客的信息:包括个人基本信息、旅游行程、费用信息等等。 - 系统需要能够实时更新游客信息,并提供查询功能。 - 用户能够...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值