RateLimiter 限流 —— 通过切面对单个用户进行限流和黑名单处理

于 2024-05-04 16:21:31 发布
阅读量327 收藏 9
点赞数 5
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yusheng_xyb/article/details/138443943
版权

关于登录的安全性管理有较多的手段,包括;设备信息、IP信息、绑定的信息、验证码登各类方式。不过在一些网页版的登录中,如果有人想办法把你的验证码给我,我就可以登录你的账户,查看你的数据。对于一些不法分子通过让你进入某些应用的录屏会议后(XXX退货返现),就能拿到你的验证码,并做登录操作。还有一些是完全流氓式做法,就玩命的一些快递📦手机号+验证码频繁的撞接口,也是有概率成功登录的。因此,为了避免这种情况,我们还需要思考如何防范。

我们可以考虑在登录的阶段必须加一些恶心的图片比对码,或者滑块验证码。这也是一种方式,能尽可能降低登录的撞接口操作。之后再考虑添加一个指纹ID,对于验证码的生成与用户从浏览器设备过来的指纹做绑定。这样即使对方通过录屏拿到你的验证码,也仍然没有做登录操作。

<script>
  // Initialize the agent at application startup.
  const fpPromise = import('https://openfpcdn.io/fingerprintjs/v4')
    .then(FingerprintJS => FingerprintJS.load())

  // Get the visitor identifier when you need it.
  fpPromise
    .then(fp => fp.get())
    .then(result => {
      // This is the visitor identifier:
      const visitorId = result.visitorId
      console.log(visitorId)
    })
</script>

有了上面这个方案,我们至少可以做一些安全的管控了。但还有臭不要脸的,一直刷你接口。这既有安全风险,又有对服务器的压力。所以我们要考虑对于这样的恶意用户进行限流和自动化黑名单处理。

 浏览器指纹的方案只需要做一个验证码绑定即可,之后限流和自动化黑名单,则需要做一些代码的开发。通过配置的方式为每一个需要做此类功能的接口添加上服务治理通常我们把对应用的熔断、降级、限流、切量、黑白名单、人群等,都称为服务治理

工程结构

 限流拦截

切面定义

public @interface AccessInterceptor {

    /** 用哪个字段作为拦截标识,未配置则默认走全部 */
    String key() default "all";

    /** 限制频次(每秒请求次数) */
    double permitsPerSecond();

    /** 黑名单拦截(多少次限制后加入黑名单)0 不限制 */
    double blacklistCount() default 0;

    /** 黑名单持续时间(秒) */
    long blacklistDurationSeconds() default 24 * 3600; // 默认为24小时

    /** 拦截后的执行方法 */
    String fallbackMethod();


}

 

  • 自定义切面注解,提供了拦截的key、限制频次、黑名单处理、黑名单持续时间、拦截后的回调方法。再通过 @Pointcut 切入配置了自定义注解的接口方法

切面拦截

@Slf4j
@Aspect
public class RateLimiterAOP {

    @Resource
    private RedissonClient redissonClient;


    @Pointcut("@annotation(cn.bugstack.chatgpt.data.types.annotation.AccessInterceptor)")
    public void aopPoint() {
    }


    @Around("aopPoint() && @annotation(accessInterceptor)")
    public Object doRouter(ProceedingJoinPoint jp, AccessInterceptor accessInterceptor) throws Throwable {
        String key = accessInterceptor.key();
        if (key == null || key.isEmpty()) {
            throw new IllegalArgumentException("RateLimiter key is null or empty!");
        }

        // 获取拦截字段
        String keyAttr = getAttrValue(key, jp.getArgs());
        log.info("aop attr {}", keyAttr);

        // 黑名单拦截
        if (!"all".equals(keyAttr) && accessInterceptor.blacklistCount() != 0 && isBlacklisted(keyAttr, accessInterceptor)) {
            log.info("限流-黑名单拦截(24h):{}", keyAttr);
            return fallbackMethodResult(jp, accessInterceptor.fallbackMethod());
        }

        // 速率限制
        if (!isRateLimited(keyAttr, accessInterceptor)) {
            log.info("限流-超频次拦截:{}", keyAttr);
            return fallbackMethodResult(jp, accessInterceptor.fallbackMethod());
        }

        // 返回结果
        return jp.proceed();
    }

    /**
     * 黑名单
     * @param keyAttr
     * @param accessInterceptor
     * @return
     */
    private boolean isBlacklisted(String keyAttr, AccessInterceptor accessInterceptor) {
        String blacklistKey = "blacklist:" + keyAttr;
        long count = redissonClient.getAtomicLong(blacklistKey).incrementAndGet();
        redissonClient.getAtomicLong(blacklistKey).expire(accessInterceptor.blacklistDurationSeconds(), TimeUnit.SECONDS);
        return count > accessInterceptor.blacklistCount();
    }

    /**
     * 限流
     * @param keyAttr
     * @param accessInterceptor
     * @return
     */
    private boolean isRateLimited(String keyAttr, AccessInterceptor accessInterceptor) {
        String rateLimitKey = "ratelimit:" + keyAttr;
        RRateLimiter rateLimiter = redissonClient.getRateLimiter(rateLimitKey);
        // 设置速率
        rateLimiter.trySetRate(RateType.OVERALL, (long) accessInterceptor.permitsPerSecond(), 1, RateIntervalUnit.SECONDS);
        // 尝试获取许可
        return rateLimiter.tryAcquire();
    }


    /**
     * 调用用户配置的回调方法,当拦截后,返回回调结果。
     */

    private Object fallbackMethodResult(ProceedingJoinPoint jp, String fallbackMethod) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        MethodSignature methodSignature = (MethodSignature) jp.getSignature();
        Method method = jp.getTarget().getClass().getMethod(fallbackMethod, methodSignature.getParameterTypes());
        return method.invoke(jp.getThis(), jp.getArgs());
    }


    /**
     * 实际根据自身业务调整,主要是为了获取通过某个值做拦截
     */
    private String getAttrValue(String attr, Object[] args) {
        if (args[0] instanceof String) {
            return (String) args[0];
        }
        String fieldValue = null;
        for (Object arg : args) {
            try {
                if (fieldValue != null) {
                    break;
                }
                fieldValue = String.valueOf(getValueByName(arg, attr));
            } catch (Exception e) {
                log.error("获取属性值失败 attr:{}", attr, e);
            }
        }
        return fieldValue;
    }


    /**
     * 获取对象的特定属性值
     *
     * @param item 对象
     * @param name 属性名
     * @return 属性值
     * @author tang
     */

    private Object getValueByName(Object item, String name) {
        try {
            Field field = getFieldByName(item, name);
            if (field == null) {
                return null;
            }
            field.setAccessible(true);
            Object value = field.get(item);
            field.setAccessible(false);
            return value;
        } catch (IllegalAccessException e) {
            return null;
        }
    }

    /**
     * 根据名称获取方法,该方法同时兼顾继承类获取父类的属性
     *
     * @param item 对象
     * @param name 属性名
     * @return 该属性对应方法
     * @author tang
     */

    private Field getFieldByName(Object item, String name) {
        try {
            Field field;
            try {
                field = item.getClass().getDeclaredField(name);
            } catch (NoSuchFieldException e) {
                field = item.getClass().getSuperclass().getDeclaredField(name);
            }
            return field;
        } catch (NoSuchFieldException e) {
            return null;
        }
    }


}
  • 通过自定义注解中配置的拦截字段,获取对应的值。这里的值作为用户的标识使用,只对这个用户进行拦截。【也可以是一些列的信息确认,包括用户IP、设备等。】
  • 这段代码流程中会根据自定义注解中的配置,对访问的用户进行限流拦截,当拦击次数达到加入黑名单的次数后,则直接存起来(Redis)在24h内直接走黑名单。—— 实际的场景中还会有风控的手段介入,以及人工来操作黑名单。

 

@Configuration
public class RateLimiterAOPConfig {

    @Bean
    public RateLimiterAOP rateLimiter(){
        return new RateLimiterAOP();
    }

}

最后在需要拦截的方法上添加自定义注解即可

  • key: 以用户ID作为拦截,这个用户访问次数限制
  • fallbackMethod:失败后的回调方法,方法出入参保持一样
  • permitsPerSecond:每秒的访问频次限制。1秒1次
  • blacklistCount:超过10次都被限制了,还访问的,扔到黑名单里24小时
yusheng_xyb
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
三极管-限流和恒流 
08-27
标题中的“三极管-限流和恒流”是指利用三极管实现电路的电流限制和恒定电流输出的技术。三极管作为一种基本的半导体器件,具有放大电流和开关的功能,这使得它成为构建限流和恒流电路的理想选择。 限流电路的主要...
Redisson 分布式限流器 RRateLimiter 的使用及原理
We choose to go to the moon in this decade and do the other things, not because they are easy, but beacase they are hard.
01-16 3136
基本使用、实现原理
限流-RateLimiter
qq_31381053的博客
02-25 758
限流-RateLimiter 工作中对外提供的API 接口设计都要考虑限流,如果不考虑限流,会成系统的连锁反应,轻者响应缓慢,重者系统宕机,整个业务线崩溃,如何应对这种情况呢,我们可以对请求进行引流或者直接拒绝等操作,保持系统的可用性和稳定性,防止因流量暴增而导致的系统运行缓慢或宕机。 在开发高并发系统时有三把利器用来保护系统: 缓存的目的是提升系统访问速度和增大系统处理容量 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解决后再打开 限流的目的是通过对并发访问/请求进行限速,或
Redisson 限流器 RRateLimiter的使用
Software As Business
05-07 3853
限流器是什么 当单位时间内,产生并发访问时,在诸如抢购场景下,只有10件库存。而用户如果都进行争夺则会产生所谓的超卖问题。这时候用限流进行限制,则可以很好的解决。使得单位时间内只有指定线程数的客户可以访问,未访问到的客户则进行其他处理。 redisson提供了封装好的限流器,此次便使用 其中的RRateLimiter限流器作为实验demo Demo public class redissonTest { //手动创建线程池,符合阿里规范 private static fi
高并发之限流-RateLimiter
阿萨的专栏
06-16 2960
由于设置了预热时间是3秒,令牌桶一开始并不会0.5秒发一个令牌,而是形成一个平滑线性下降的坡度,频率越来越高,在3秒钟之内达到原本设置的频率,以后就以固定的频率输出。表现形式如下图所示,令牌刷新的时间间隔由长逐渐变短。它有三个步骤,一是调用 resync函数增加令牌数,二是计算预支付令牌所需额外等待的时间,三是更新下次获取令牌时间 nextFreeTicketMicros和存储令牌数 storedPermits。在下面代码中,有一个请求会直接请求5个令牌,但是由于此时令牌桶中有累积的令牌,足以快速响应。
限流-Guava-RateLimiter
迷路剑客个人博客
11-21 2670
转载声明 本文大量内容系转载自以下文章,有删改,并参考其他文档资料加入了一些内容: 使用Guava RateLimiter限流以及源码解析 作者:人在码途 转载仅为方便学习查看,一切权利属于原作者,本人只是做了整理和排版,如果带来不便请联系我删除。 1 前言 在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流 缓存 缓存的目的是提升系统访问速度和增大系统处理容量。 降级 降级是当服务...
Redisson分布式限流RRateLimiter的实现原理
qq_41625866的博客
03-13 3446
Redisson分布式限流RRateLimiter的实现原理
Nginx使用limit_req_zone对同一IP访问进行限流的方法
09-18
在Nginx中,`limit_req_zone`指令是用于实现访问限流的关键工具,它可以有效地防止DDoS攻击和恶意用户刷流量,保护服务器资源。这个指令属于`ngx_http_limit_req_module`模块,该模块是Nginx的默认组件,无需额外...
分布式限流面试专题系列:Nginx+zookeeper.zip
06-30
在分布式限流中,Nginx可以作为流量入口,通过配置限流规则,对请求进行拦截和控制。 2. **限流算法**:Nginx支持多种限流算法,如漏桶算法(Leaky Bucket)和令牌桶算法(Token Bucket)。漏桶算法限制了系统的...
利用自动限流调节保护功率开关
10-21
改进方法是通过将简单的开关和保险丝集成在单个封装内实现相同的功能,且无需更换器件和维护。本文介绍的MAX5976热插拔电源解决方案在内部集成了功率MOSFET和驱动电路,能够提供通断控制以及保护。期望的过流保护...
LED单个TL431恒流/限流技巧及改进
10-19
总结来说,这篇文章主要介绍了如何利用单个TL431在LED驱动电路中实现恒流和限流,强调了电阻选择的重要性,并提供了改进方案以降低损耗。这些知识对于初学者和电子工程师理解LED驱动设计以及优化电路性能非常有帮助...
提升编程效率的利器: 解析Google Guava库之RateLimiter优雅限流(十)
最新发布
码到三十五
02-16 2534
在分布式系统、微服务架构或高并发应用中,我们经常需要对服务或资源的访问频率进行限制,以防止系统过载或应对突发的流量高峰。Google的Guava库提供了RateLimiter这一强大且灵活的组件,用于实现速率限制。本文将深入探讨Guava中RateLimiter的原理、特性、功能、使用方法、适用场景以及实现机制,并给出如何在实际项目中最佳运用它的建议。RateLimiter基于令牌桶算法(Token Bucket Algorithm)实现。
RateLimiter+Aop 实现限流
weixin_43076660的博客
12-13 148
RateLimiter+Aop 实现限流
redisson 限流器(RRateLimiter)
u013078871的博客
03-31 3846
使用redisson做分布式限流 redis redisson 限流器的实例(RRateLimiter)
Redisson之限流器RRateLimiter应用
qq_34373761的博客
12-03 1402
需求背景: 已知第三方接口限流策略,比如60次/min,那在内部调用第三方接口时,为避免过多无效请求,造成ip被封的风险,故需引入限流器,此处采用Redisson中RRateLimiter限流器;
Redisson RRateLimiter+AOP实现在方法上进行限流
Meng_F的博客
03-18 1128
RRateLimiter + aop 限流注解
RateLimiter限流
玲珑骰子安红豆,入骨相思知不知
03-27 8419
限流背景 在早期的计算机领域,限流技术(time limiting)被用做控制网络接口收发通信数据的速率。可以用来优化性能,减少延迟和提高带宽等。现在在互联网领域,也借鉴了这个概念,用来为服务控制请求的速率,如双十一的限流,12306的抢票等。即使在细粒度的软件架构中,也有类似的概念。 系统在使用下游资源时,需要考虑下游对资源受限,处理能力,在下游资源无法或者短时间内无法提升处理性能的情况下,可以使用限流器或者类似保护机制,避免下游服务崩溃造成整体服务的不可用。 限流相关概念 在介绍限流之前先介绍几
分布式限流 redission RRateLimiter 的使用及原理
MayMatrix 的博客
11-08 3120
redission分布式限流采用令牌桶思想和固定时间窗口,trySetRate方法设置桶的大小,利用redis key过期机制达到时间窗口目的,控制固定时间窗口内允许通过的请求量。
NeRFlow:神经辐射流——动态场景的4D视图合成与视频处理
本文介绍了“神经辐射流”(NeRFlow),一种用于4D视图合成和视频处理的新型神经隐式表示方法。该方法由杜一伦、于红星和约书亚·贝恩·坦嫩鲍姆等研究人员开发,旨在解决动态场景表示中的挑战,特别是如何从有限的、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值