API限流-利用Redis限制API在X分钟内的调用次数

利用Redis实现API调用频率限制
最新推荐文章于 2024-11-07 16:13:14 发布
原创 最新推荐文章于 2024-11-07 16:13:14 发布 · 1.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #redis

该博客介绍了一种使用Redis进行API调用频率限制的策略,通过结合IP和API地址创建key,并利用Redis的分布式锁和过期时间功能,防止爬虫或恶意请求耗尽服务器资源。在Java环境中,通过自定义注解和拦截器实现限制,对每个用户的API访问次数和时间间隔进行控制,当达到预设阈值时,会锁定该用户对该API的访问一段时间。
背景

在对外开放我们的API的时候,有时候API调用不一定是来自于我们的APP或者网站。若是一个资源网站,极有可能会遇到爬虫来盗刷我们的数据。导致短时间内API的调用猛增,耗费服务器资源。因此需要在某些需要查数据库、文件等的API处,增加API调用频率限制。

我的思路

某API 1分钟内调用次数限制思路 ---- 利用redis进行限流。
若是负载均衡的api,则在进行判断的时候,要用redis提供的分布式锁setnx进行互斥执行以下步骤
假设API的地址为: /api/resource/list

redis中的数据结构
keyvalue过期时间备注
10.200.120.3:/api/resource/list2021062315:40:23#153min-----正常记录1分钟内api调用次数及上次调用的时间
10.200.120.3:/api/resource/listlocked3minapi访问频率达到限制时,限制IP对api的访问,限制时间为3min

key: 由IP+API地址构成,表明哪个IP正在访问哪个api
value: 由上次访问时间+累计访问次数构成

操作流程说明
  1. IP为10.200.120.3的客户端每次访问/api/resource/list时,首先从redis中取出key= 10.200.120.3:/api/resource/list 的值value
  2. 判断value是否等于locked,如果value=locked,跳转到第3步,如果value为空,则跳转到第4步,否则跳转到第5步
  3. 返回错误代码,提示1分钟内访问api次数超过60次,请稍后再试
  4. 在redis中新增key=10.200.120.3:/api/resource/list value= 2021062315:40:23#1,设置过期时间为3min,并调用api返回结果到调用者
  5. 判断当前api调用时间与value中的时间差值diff是否小于1分钟,若大于等于1分钟,则跳转到第6步,否则跳转到第7步
  6. 更新redis中,key=10.200.120.3:/api/resource/list value= 2021062315:42:23#1,设置超时时间为3min,并调用API返回结果到调用者
  7. 若调用时间差小于1分钟,则判断value中的调用次数是否小于60次,若大于等于60次,则跳转到第8步,否则跳转到第9步
  8. 更新redis中,key=10.200.120.3:/api/resource/list value= locked,并且更新过期时间为3min返回错误代码,提示1分钟内访问api次数超过60次,请稍后再试
  9. 若1分钟内调用次数少于60次,则更新redis中,key=10.200.120.3:/api/resource/list value= 2021062315:42:58#13,设置过期时间为3min,并调用api返回结果到调用者

redis 设置某个key的超时时间后,若后续key的值发生改变,重新set key value时,会删除之前的key value 以及连带的超时时间。所以,如果更新key的值后,还需要有超时时间,最好重新设置一次。

Java代码实现思路
  1. 自定义一个annotation。属性有count:调用次数 durationTime: 时间间隔,比如1分钟内,lockTime: API调用达到限制时,限制多少时长后可以访问其中关于time的,单位可自行定义为秒,或分钟
  2. 在需要做调用限制的方法上面,添加你自定义的注解。并注入对应的属性值
  3. 编写拦截器,拦截 ”/“ 开头的或者你自定义的路由前缀,例如拦截: /rest/rsource/**等。
  4. 进入拦截方法后,判断当前拦截的方法上面是否有自定义的注解,若没有,则步进行后续处理
  5. 若方法定义了注解,则取出注解中定义的各个属性,count、durationTime、lockTime,按照上面的限制思路进行判断,即可。
目前实现的效果
自定义注解
/**
 * @author CoreCmd
 * @date 2021/7/5
 * @apiNote 在durationTime时间内,对某api的访问次数达到maxCount时,将被禁止访问lockTime时间,时间单位为:timeUnit
 */
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@Documented
@Inherited
public @interface AccessLimitAnnotation {
    //请求次数限制数量
    int maxCount() default 60;
    //请求间隔时间
    int durationTime() default 1;
    //锁定访问时间
    int lockTime() default 3;
    TimeUnit timeUnit() default TimeUnit.MINUTES;
}

使用方式:在需要访问限制的接口上,加上注解: @AccessLimitAnnotation

 @ApiOperation(value = "获取定时任务类列表")
    @GetMapping(value = "/list/job-beans")
    @ApiImplicitParams({
            @ApiImplicitParam(paramType = "header",name = "authToken", value = "登录token", required = true, dataType = "String")
    })
    @AccessLimitAnnotation
    public CustomResponse listJobBeans(@RequestHeader(value = "authToken")String authToken){
        CustomResponse customResponse = null;
        try {
            customResponse = CustomResponse.ok();
            customResponse.put("jobBeans",myApplicationListener.getJobDefinitions());
        } catch (Exception e){
            log.info("获取定时任务类列表异常",e);
            customResponse = CustomResponse.error("获取定时任务类列表异常,请联系管理员");
        }
        return customResponse;
    }
自定义拦截器进行api拦截

在实际使用中,key的组成,我换成了token+api的方式,针对某个用户进行限制,不针对IP限制,后续有需要再自行改动。

//校验权限
        if(handler instanceof HandlerMethod) {
            AccessLimitAnnotation accessLimitAnnotation = ((HandlerMethod) handler).getMethodAnnotation(AccessLimitAnnotation.class);
            if (null != accessLimitAnnotation){
                int maxCount = accessLimitAnnotation.maxCount();
                int durationTime = accessLimitAnnotation.durationTime();
                int lockTime = accessLimitAnnotation.lockTime();
                TimeUnit timeUnit = accessLimitAnnotation.timeUnit();
                String reqPath = request.getRequestURI();
                String accessLimitCheckKey = authToken + ":"+ URLEncoder.encode(reqPath,"utf-8");
                String accessInfo = redisTemplate.opsForValue().get(accessLimitCheckKey);
                if (null != accessInfo){
                    if ("locked".equalsIgnoreCase(accessInfo)){
                        isAccessAllowed = false;
                    } else {
                        String []accessTimeAndCount =  accessInfo.split("#");
                        Date lastAccessTime = sdf.parse(accessTimeAndCount[0]);
                        Date nowDate = new Date();
                        int accessCount = Integer.parseInt(accessTimeAndCount[1]);
                        long diff = nowDate.getTime() - lastAccessTime.getTime();
                        long nd = 1000 * 24 * 60 * 60;
                        long nh = 1000 * 60 * 60;
                        long nm = 1000 * 60;
                        long min = diff % nd % nh / nm;
                        if (min >= durationTime){
                            redisTemplate.opsForValue().set(accessLimitCheckKey,sdf.format(nowDate)+"#"+1,lockTime,timeUnit);
                        } else if (accessCount >= maxCount){
                            redisTemplate.opsForValue().set(accessLimitCheckKey,"locked",lockTime,timeUnit);
                            isAccessAllowed = false;
                        } else {
                            redisTemplate.opsForValue().set(accessLimitCheckKey,sdf.format(nowDate) + "#"+(accessCount + 1),lockTime,timeUnit);
                        }
                    }
                } else {
                    redisTemplate.opsForValue().set(accessLimitCheckKey,sdf.format(new Date())+"#"+1,lockTime,timeUnit);
                }
            }
访问效果:

在这里插入图片描述

API 调用次数限制实现
07-03
我们在开发接口服务器的过程中,为了防止客户端对于接口的滥用,保护服务器的资源, 通常来说我们会对于服务器上的各种接口进行调用次数限制
实现API调用次数限制的方法
最新发布
07-07
限流可以通过多种方式实现,例如利用 Redis 的 INCR 命令实现简单的限流。然而,这种方法存在漏洞,比如用户可能在某个时间窗口的末尾发起大量请求,随后在下一个时间窗口的开始再发起大量请求,从而使服务器承受...
redis做接口调用频率限制
liangwenrong的博客
04-01 2185
需求: 同一个key在timeoutSeconds时间段内最多能够调用k接口,超过则拒绝返回false。 实现方法: 把当前key每一调用时间记录下来,判断最近时间段内是否达到了允许的最大次数,达到则拒绝。 存在问题: acquire方法执行时间(可能十几毫秒)内,存在并发的情况下则会把同一时间的所有acquire调用只当成一。 解决此问题的最佳方法是对该acquire同个key做线程同步,同步方式应该是轻量锁乐观锁自旋锁,因为此方法并不会阻塞线程多久。 public class RateUtil
API调用次数限制实现
热门推荐
chenglinhust的专栏
05-21 3万+
API调用次数限制实现 参考资料:     1. https://zhuanlan.zhihu.com/p/20872901?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io Token BucketRedis IncrRedis EvalBetter Rate Limiting Wit
通过REDIS实现限制API调用次数
程序新视界
07-06 3698
在对外提供api接口时,往往需要对api接口进行限制,某些情况下还需要做好防止接口被刷的功能。利用redis的自增计数特性可以很轻易的实现该功能。 关于Spring boot等项目集成redis就不再多说,这里提供一种场景下redis的使用:在指定时间段检查api对应方法被调用次数,如果超出该限制则返回true,触发规则,其他情况返回false。 项目基于springboot,首先定义对应的阈值配置: close: # 封号时间区间,默认1秒,单位秒 seconds: 1 # api调用次数
第 14 篇:限制接口的访问频率
HelloGitHub 的博客
07-31 2831
作者:HelloGitHub-追梦人物[1]限流,顾名思义,就是限制API调用频率。每一 API 调用,都要花费服务器的资源,因此很多 API 不会对用户无限地开放,请求达到...
电商项目之Redis实现限制接口调用次数
Android_la的博客
03-30 766
本方案是笔者自己想出来的,还未经过生产环境的考验,如有不正确的地方欢迎在评论区中指出。
Springboot使用redis进行api防刷限流过程详解
08-25
在本文中,我们将深入探讨如何利用 Redis 的存储特性以及 Spring Boot 的强大框架支持来构建一个高效的 API 限流系统。 ### 1. 限流需求与场景 API 限流的主要目的是保护服务的稳定性和资源的有效利用,防止恶意或...
基于Redis进行接口IP限流
qq_55846232的博客
09-01 898
基于Redis进行接口IP限流
java使用redis接口访问频率限制
zhuyangguang0101的博客
12-21 3776
本文使用AOP与redis进行接口的访问频率限制,两个功能,可以限制接口访问间隔时间与几分钟内访问几,比如,某接口3分钟内同一用户不能超过10,并且两访问间隔不能低于10S。废话不多说,上代码。 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented /** * one minutes request frequency is Fifty times, exceeding the wait fiv
商品详情 API 接口的调用次数是否有限制
API_Zevin的博客
11-07 987
商品详情 API 接口的调用次数通常有限制。原因包括保障系统稳定及防止恶意攻击,不同账户类型限制不同,普通开发者账户调用次数较少,企业级或高级账户可能有更高限制但需申请和可能收费。从时间维度看,有短期和长期限制,防止高并发请求和确保不超上限。如遇任何疑问或有进一步的需求,请随时评论与私信。
API 接口防刷(接口请求次数限制
仰望-星空~~的博客
08-19 2206
创建自定义的注解请求限制的自定义注解@Target 注解可修饰的对象范围,ElementType.METHOD 作用于方法,ElementType.TYPE 作用于类(ElementType)取值有:1.CONSTRUCTOR:用于描述构造器2.FIELD:用于描述域3.LOCAL_VARIABLE:用于描述局部变量4.METHOD:用于描述方法5.PACKAGE:用于描述包6.PARAMETER:用于描述参数7.TYPE:用于描述类、接口(包括注解类型) 或enum声明。
3.2 Redis实战应用之限制用户访问频率
棒棒的邦邦
04-18 1244
一、场景举例 我们日常上网冲浪的时候,常常会遇到这样的情景: 多输错登陆密码,再尝试登录,页面提示需要输入正确的图形验证码 某内容平台限定,每个账号单日可发布的文章数量不得超过规定上限 采用短信验证码进行交互的场景,M分钟内请求的验证码次数过多,接下来的N分钟里会被拒绝请求,并提示"用户操作频繁,请稍后再试" 当网站的访问量突然很大的时候肯定会对服务器造成影响,甚至无法访问,如果是正常的访问那么很好说明业务量增大可以考虑系统的拓展,但是如果是搜索引擎爬虫频繁访问或是一些恶意访问,那这时候我们就应该限
API接口-假定时间内限制访问次数-限频率
牧风人的博客
11-15 3462
API接口-假定时间内限制访问次数-限频率 在实际项目中,往往需要对一些公开的接口进行限制在一定时间内的访问次数,避免他人的恶意攻击占用系统资源。 方案:设置拦截器,每访问记录ip地址+访问URL作为key,使用redis按key查询是否有访问记录。如果未有访问redis记录,redis记录这访问,如果redis查询到有访问次数,比较系统限制次数是否大于现在访问次数,大于则放行,小于等于则拒绝。(redis存储带过期时间,过期后自动清除) String key = IpU
API项目6:接口调用次数的统计 && 网关
Gus10124的博客
10-21 2976
本项目是一个面向开发者的 API 平台,提供 API 接口供开发者调用。用户通过注册登录,可以开通接口调用权限,并可以浏览和调用接口。每调用都会进行统计,用户可以根据统计数据进行分析和优化。管理员可以发布接口、下线接口、接入接口,并可视化接口的调用情况和数据。本项目侧重于后端,涉及多种编程技巧和架构设计层面的知识。后端项目现在有 backend、interface,因为平台可以接入任何人开发的接口,不一定是同一个团队或者公司内部的项目。
限制接口一定时间内调用次数,超过次数就延时后调用
05-20 1645
@Documented @Target(ElementType.METHOD) // 说明该注解只能放在方法上面 @Retention(RetentionPolicy.RUNTIME) public @interface LimitRequest { long time() default 60; // 限制时间 单位:秒 int count() default 1; // 允许请求的次数 } @Aspect @Component public class LimitRequestAspe
(十七)ATP应用测试平台——Redis实现API接口访问限流(固定窗口限流算法)
厉害哥哥的博客
06-02 787
本节内容我们使用redis实现接口API的访问限流,这里提供spring的interceptor拦截器和aop切面俩种方式实现接口api的细粒度限流,根据实际情况,选择一种方式即可。说到限流我们前面已经介绍过在微服务中使用阿里巴巴的产品sentinel实现限流,sentinel是功能更加强大限流产品。本节内容我们是基于redis自身的一些特性实现限流,相对来说还是一种比较通俗易懂的实现限流方式
redis限定接口调用次数
往生的博客
08-17 1753
一般第三方api都会有每分钟或者每秒限定调用次数的功能,这也是为了防止恶意调用攻击服务器而做的。开发中登陆次数调用次数这些类似的功能都可以放到redis中去实现。 思路:前端发送接口调用请求,将可以作为唯一标记的字段作为key,放到redis中,并可以设置有效时间。在key有效时间内,每调用增加1。若次数超过限定则限定处理就可以了。 下面是仿照第三方开放api,实现的一个小demo. ...
Redislimiter-Spring-Boot:微服务API限流框架详解
### 知识点一:RedisLimiter介绍 RedisLimiter是一个出色的API限制框架,专为Spring Boot/Cloud应用程序设计,尤其是在微服务架构中。...希望这些内容能为开发者在实际项目中实现API限流提供理论和实践上的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值