【Java-EE进阶】SpringBoot针对某个IP限流问题
目录
简介
1. 使用Guava的RateLimiter实现限流
添加Guava依赖
实现RateLimiter限流逻辑
限流管理类
控制器中应用限流逻辑
2. 使用计数器实现限流
限流管理类
控制器中应用限流逻辑
简介
针对某个IP进行限流以防止恶意点击是一种常见的反爬虫和防止DoS的措施。限流策略通过对某个IP的访问频率进行控制,防止恶意用户对应用造成负面的影响。
以下是实现限流的步骤和方法,在Java后端通常这样实现:
1. 使用Guava的RateLimiter实现限流
Guava库提供了一个简单而高效的限流工具:RateLimiter,可以方便的实现针对IP的访问频率控制。
添加Guava依赖
首先,在pom.xml文件中添加Guava依赖:
<dependency><groupId>com.google.guava</groupId><artifactId>guava</artifactId><version>30.1-jre</version>
</dependency>
实现RateLimiter限流逻辑
限流管理类
创建一个类来管理针对IP的限流:
import com.google.common.util.concurrent.RateLimiter;import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.ConcurrentMap;public class RateLimiterManager {private final ConcurrentMap<String, RateLimiter> rateLimiterMap = new ConcurrentHashMap<>();private final double permitsPerSecond = 1.0; // 每秒允许1次请求public boolean tryAcquire(String ip) {RateLimiter rateLimiter = rateLimiterMap.computeIfAbsent(ip, k -> RateLimiter.create(permitsPerSecond));return rateLimiter.tryAcquire();}
}
控制器中应用限流逻辑
在Spring Boot控制器中应用限流逻辑:
import com.xfusion.rate1.limit.RateLimiterManager;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;import java.io.IOException;@RestController
@RequestMapping("/test")
public class TestController {private final RateLimiterManager rateLimiterManager=new RateLimiterManager();@RequestMapping("/t1")public void test1(HttpServletRequest request, HttpServletResponse response) throws IOException {String param=request.getRemoteAddr();if(rateLimiterManager.tryAcquire(param)) {response.getWriter().write("Request processed for " + param);} else {response.setStatus(HttpServletResponse.SC_FORBIDDEN);response.getWriter().write("Request limit for " + param);}}
}private final ConcurrentMap<String, RateLimiter> rateLimiterMap = new ConcurrentHashMap<>();
-
ConcurrentMap<String, RateLimiter>:
- 使用
ConcurrentMap来存储每个IP的限流器(RateLimiter)。 ConcurrentMap接口允许高效地进行并发访问和更新,确保线程安全。
- 使用
-
new ConcurrentHashMap<>():
- 实例化一个
ConcurrentHashMap,它是ConcurrentMap的常用实现。这种数据结构支持线程安全的读写操作,适合限流场景。
- 实例化一个
private final double permitsPerSecond = 1.0; // 每秒允许1次请求
- permitsPerSecond:
- 定义一个double类型的常量
permitsPerSecond,值为1.0。 - 表示每秒允许1次请求的限流速率。RateLimiter根据此值来创建相应的限流器。
- 定义一个double类型的常量
RateLimiter rateLimiter = rateLimiterMap.computeIfAbsent(ip, k -> RateLimiter.create(permitsPerSecond));
-
computeIfAbsent:
computeIfAbsent方法用于检查map中是否已经存在为该IP准备的RateLimiter。- 若不存在,则使用
k -> RateLimiter.create(permitsPerSecond)创建一个新的RateLimiter。这个lambda部分表示为未存在的IP创建一个新的RateLimiter,限流速率为permitsPerSecond。
-
RateLimiter.create(permitsPerSecond):
- 调用
RateLimiter类的静态方法create,以指定速率创建一个新的限流器实例。这使得每秒最多处理一个请求。
- 调用
return rateLimiter.tryAcquire();
- rateLimiter.tryAcquire():
- 尝试获取一个请求许可。在给定的限流速率范围内,如果成功获取许可,则返回
true,否则返回false。 tryAcquire使得在请求达到速率限制时,予以限制,而不使请求排队。
- 尝试获取一个请求许可。在给定的限流速率范围内,如果成功获取许可,则返回
response.setStatus(HttpServletResponse.SC_FORBIDDEN);如果我们发现请求达到了上限的时候,设置相应的状态码,然后前端会根据相应的状态码来完成请求,同时就防止这个ip然后再进行访问。
2. 使用计数器实现限流
计数器限流比较简单,通过记录每个IP的请求次数并在指定时间窗口内进行限流。
限流管理类
创建一个类来管理限流逻辑:
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Configuration;
import org.springframework.scheduling.annotation.Scheduled;
import org.springframework.stereotype.Component;import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.atomic.AtomicInteger;
@Slf4j
@Configuration
@Component
public class CounterRateLimiter {private final ConcurrentHashMap<String, AtomicInteger> requestCounts = new ConcurrentHashMap<>();private final int maxRequestsPerMinute = 10;public boolean tryAcquire(String ipAddress) {AtomicInteger requestCount = requestCounts.computeIfAbsent(ipAddress, k -> new AtomicInteger(0));int currentCount = requestCount.incrementAndGet();log.info("IP: " + ipAddress + ", Current Count: " + currentCount);return currentCount <= maxRequestsPerMinute;}public void resetCounts() {log.info("Reset counts");requestCounts.clear();}@Scheduled(fixedRate = 10000)public void resetCountsScheduled() {log.info("刷新这个ip的次数");resetCounts();}
}在开启定时任务的时候,要在Application上添加上@EnableScheduling这个注解
@SpringBootApplication
@Configuration
@EnableScheduling
public class Rate1Application {public static void main(String[] args) {SpringApplication.run(Rate1Application.class, args);}}控制器中应用限流逻辑
在Spring Boot控制器中应用限流逻辑,并定期重置计数器:
private final CounterRateLimiter counterRateLimiter;public TestController(CounterRateLimiter counterRateLimiter) {this.counterRateLimiter = counterRateLimiter;}@RequestMapping("/t2")public void test2(HttpServletRequest request, HttpServletResponse response) throws IOException {String param = request.getRequestURI();if (counterRateLimiter.tryAcquire(param)) {log.info("打印日志1");response.getWriter().write("Request processed for test2 " + param);} else {log.info("打印日志2");response.setStatus(HttpServletResponse.SC_FORBIDDEN);response.getWriter().write("Request limit for test2" + param);}}@Scheduled(fixedRate = 10000)
public void resetCountsScheduled() {log.info("刷新这个ip的次数");resetCounts();
}
- @Scheduled(fixedRate = 10000):注解用于配置定时任务,每10秒执行一次。
- fixedRate:设定定时任务的执行频率,这里设置为每10000毫秒(即每10秒)。
- resetCountsScheduled 方法:定时任务调用
resetCounts方法清空计数器。- 日志记录:记录定时任务执行。
- 调用 resetCounts:每10秒自动调用
resetCounts方法重置计数器。
public void resetCounts() {log.info("Reset counts");requestCounts.clear();
}
resetCounts:用于重置计数器。
- 日志记录:记录重置计数器操作。
- clear:清空
requestCounts中的所有键值对,重置所有IP的计数器