接口限流是指在系統中對接口進行限制訪問,以保護系統不被過載或異常流量所影響。這通常是為了防止DDoS攻擊或其他類型的惡意流量攻擊,以及確保系統的穩定性和可靠性。
環境:Springboot3.0.5
概述
接口限流是指在系統中對接口進行限制訪問,以保護系統不被過載或異常流量所影響。這通常是為了防止DDoS攻擊或其他類型的惡意流量攻擊,以及確保系統的穩定性和可靠性。
接口限流可以采取多種方法,包括:
- 計數器:記錄每個接口的訪問次數,如果超過預設的限制,則限制對該接口的訪問。
- 速率限制:限制每個接口的訪問速率,例如每秒請求數。
- 滑動窗口算法:記錄一段時間內每個接口的訪問次數,并根據這些數據進行限流。
- 漏桶算法:限制一段時間內的總訪問次數或總請求數,無論接口是否被頻繁訪問。
- 基于流的限流:根據網絡流量進行限流,例如限制每個IP地址的流量。
接口限流可以保護系統免受異常流量攻擊,但同時也可能會對正常用戶造成一些影響,因此需要合理設置限流策略,以確保系統的穩定性和可靠性。
限流
實現方案
Guava實現接口限流
@Test
public void testWithRateLimiter() {
long start = System.currentTimeMillis() ;
// 每秒最多接受10個請求
RateLimiter limiter = RateLimiter.create(10.0) ;
for (int i = 0; i < 10; i++) {
// 如果沒有可用的將會被阻塞
limiter.acquire() ;
System.out.println("execution bussiness invoke...") ;
TimeUnit.SECONDS.sleep(1) ;
}
long end = System.currentTimeMillis() ;
System.out.println((end - start) + "ms") ;
}
2. 通過Spring Cloud Gateway
在Spring Cloud Gateway中提供了RequestRateLimiterGatewayFilterFactory過濾器,我們可以通過配置該過濾器來實現限流,該過濾默認提供了基于redis實現的RedisRateLimiter。我們可以通過自定義RateLimiter實現自己的限流方案。
spring:
cloud:
gateway:
routes:
- id: test
uri: http://localhost:8082
filters:
- name: RequestRateLimiter
args:
key-resolver: '#{@packKeyResolver}'
redis-rate-limiter.replenishRate: 1
redis-rate-limiter.burstCapacity: 3
3. Resilience4j
在該庫中提供了限流的支持,我們可以通過編程的方式也可以直接通過注解的方式實現。
具體查看Resilience4j的官網都有介紹。
- 自定義
該方案就是本文要介紹實現的方案。
自定義接口限流
接下來通過一個注解結合Redis實現簡單基于計數器的方法實現接口的限流。
依賴配置
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
配置
spring:
data:
redis:
host: localhost
port: 6379
password: 123123
database: 12
lettuce:
pool:
maxActive: 8
maxIdle: 100
minIdle: 10
maxWAIt: -1
- 自定義注解
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {
// 單位時間:秒
long seconds() default 1;
// 單位時間內限制訪問次數
int count() default 10 ;
}
- 攔截器
這是我們實現接口限流的核心,符合條件的請求都會先進過該攔截器判斷是否放行。
@Component
public class AccessLimitInterceptor implements HandlerInterceptor {
@Resource
private StringRedisTemplate stringRedisTemplate ;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 只針對@Controller(RequestMAppingHandlerMapping)的接口
if (handler instanceof HandlerMethod handlerMethod) {
Method method = handlerMethod.getMethod() ;
// 具備AccessLimit注解的才進行攔截
AccessLimit accessLimit = method.getDeclaredAnnotation(AccessLimit.class) ;
if (accessLimit != null) {
// 獲取注解配置的參數
long seconds = accessLimit.seconds() ;
int count = accessLimit.count() ;
if (seconds > 0 && count >= 0) {
String key = request.getRemoteAddr() + ":" + request.getRequestURI() ;
String value = this.stringRedisTemplate.opsForValue().get(key) ;
System.out.println("當前為:" + value) ;
if (value == null) {
this.stringRedisTemplate.opsForValue().set(key, String.valueOf(count - 1) , seconds, TimeUnit.SECONDS) ;
return true ;
} else {
int c = Integer.valueOf(value) ;
if (c <= 0) {
response.setContentType("application/json;charset=utf-8") ;
Map<String, Object> res = Map.ofEntries(
Map.entry("code", -1),
Map.entry("message", "訪問太快了")
) ;
response.getWriter().println(new ObjectMapper().writeValueAsString(res)) ;
return false ;
} else {
this.stringRedisTemplate.opsForValue().decrement(key) ;
return true ;
}
}
}
}
}
return true ;
}
}
- 配置攔截器
@Component
public class AccessLimitConfig implements WebMvcConfigurer {
@Resource
private AccessLimitInterceptor accessLimitInterceptor ;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry
.addInterceptor(accessLimitInterceptor)
.addPathPatterns("/**")
// 對登錄和退出接口放行
.excludePathPatterns("/login", "/logout") ;
}
}
以上就是核心類,整體還是非常簡單的,主要判斷都在攔截器中。接下來進行接口測試
@RestController
@RequestMapping("/acc")
public class AccessLimitController {
@AccessLimit(seconds = 1, count = 2)
@GetMapping("/index")
public Object index() {
return "success" ;
}
}
- 測試
正常訪問
如果1秒內超過2次將輸出上面錯誤
