26.redis实现日限流、周限流(含黑名单、白名单)

已于 2024-12-23 19:23:32 修改
阅读量816 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: go 文章标签: redis 数据库 缓存
于 2023-10-22 00:54:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YouMing_Li/article/details/133968348
本文介绍了如何使用Go语言与Redis配合实现对用户操作的频次限制,包括日和周的限制,以及白名单和黑名单功能。作者提供了详细的代码示例和测试过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

代码地址:https://gitee.com/lymgoforIT/golang-trick/tree/master/18-redis-limit

一:简介

在日常工作中,经常会遇到对某种操作进行频次控制的需求,此时常用的做法是采用redisincr来递增,记录访问次数, 以及 expire 来设置失效时间.

比如有一个活动,用户完成后可以领取奖励,但是对日和周有一定的频次限制,并且对某些特殊用户,开通白名单和黑名单通道,流程如下
在这里插入图片描述

二:go实现

package main

import (
	"context"
	"fmt"
	"github.com/go-redis/redis/v8"
	"strconv"
	"time"
)

var redisClient *redis.Client
var ctx = context.Background()
var DayLimitKey = "RewardKey_%d_%s" // 奖励key_用户id_年月日   redis string类型 用于是否存在该key即可
var WeekLimitKey = "RewardKey_%d"   // 奖励key_用户id redis string类型,用于计数
var DayExpireTime = time.Duration(86400) * time.Second
var WeekExpireTime = time.Duration(7*86400) * time.Second

func init() {
	config := &redis.Options{
		Addr:         "localhost:6379",
		Password:     "",
		DB:           0, // 使用默认DB
		PoolSize:     15,
		MinIdleConns: 10, //在启动阶段创建指定数量的Idle连接,并长期维持idle状态的连接数不少于指定数量;。
		//超时
		//DialTimeout:  5 * time.Second, //连接建立超时时间,默认5秒。
		//ReadTimeout:  3 * time.Second, //读超时,默认3秒, -1表示取消读超时
		//WriteTimeout: 3 * time.Second, //写超时,默认等于读超时
		//PoolTimeout:  4 * time.Second, //当所有连接都处在繁忙状态时,客户端等待可用连接的最大等待时长,默认为读超时+1秒。
	}
	redisClient = redis.NewClient(config)
}

func main() {
	var userId int64 = 123       // 使用123作为测试用户
	var weekLimitCount int64 = 2 // 假定一周只能发两次奖励

	// 校验
	res, err := limitValidation(userId, weekLimitCount)
	if err != nil {
		fmt.Printf("校验过程出现错误,err:%v", err)
		return
	}

	if !res {
		fmt.Println("校验未通过,无法发奖")
		return
	}

	// 发奖成功后,设置相关redisKey
	fmt.Println("模拟发奖成功。。。")

	today := time.Now().Format("2006-01-02")
	redisClient.Set(ctx, fmt.Sprintf(DayLimitKey, userId, today), 1, DayExpireTime)

	// 周限制由于是要计数,所以需要先判断key是否已经设置过
	weekLimitKey := fmt.Sprintf(WeekLimitKey, userId)
	exists, err := redisClient.Exists(ctx, weekLimitKey).Result()
	if err != nil {
		return
	}
	if exists == 1 { // key存在,计数加1
		redisClient.Incr(ctx, weekLimitKey)
	} else { // 本周首次下发,设置key与过期时间
		redisClient.Set(ctx, weekLimitKey, 1, WeekExpireTime)
	}

}

func limitValidation(userId int64, weekLimitCount int64) (bool, error) {
	// 是否在白名单中,实际工作中,白名单一般配置到远程配置中心、或者rpc接口、DB等
	// 这里为了演示,直接给定一个列表
	var whiteList = []int64{111, 222}
	if isInList(whiteList, userId) {
		// 在白名单中,可以直接发奖
		return true, nil
	}

	// 是否在黑名单中
	var blackList = []int64{333, 444}
	if isInList(blackList, userId) {
		// 在黑名单中,直接拒绝发奖
		fmt.Printf("在黑名单中,直接拒绝发奖,userId:%v\n", userId)
		return false, nil
	}

	// 今日是否已经发过
	today := time.Now().Format("2006-01-02")
	//  存在返回1
	exists, err := redisClient.Exists(ctx, fmt.Sprintf(DayLimitKey, userId, today)).Result()
	if err != nil {
		fmt.Printf("访问redis错误,err:%v", userId)
		return false, err
	}
	if exists == 1 { // 今日已经发过,不可以再发了
		fmt.Printf("今日已经发过,不可以再发了,userId:%v\n", userId)
		return false, nil
	}

	// 本周下发次数是否已经达到上限
	exists, err = redisClient.Exists(ctx, fmt.Sprintf(WeekLimitKey, userId)).Result()
	if err != nil {
		fmt.Printf("访问redis错误,err:%v\n", userId)
		return false, err
	}
	if exists != 1 { // 本周没有发过,可以发
		return true, nil
	}

	result, err := redisClient.Get(ctx, fmt.Sprintf(WeekLimitKey, userId)).Result()
	if err != nil {
		fmt.Printf("访问redis错误,err:%v\n", userId)
		return false, err
	}
	count, _ := strconv.ParseInt(result, 10, 64)
	if count >= weekLimitCount {
		fmt.Printf("本周下发次数是否已经达到上限,不可以再发了,userId:%v\n", userId)
		return false, err
	}

	// 以上校验都通过,可以发奖
	return true, nil
}

func isInList(list []int64, userId int64) bool {
	for _, val := range list {
		if val == userId {
			return true
		}
	}
	return false
}

三:测试

1. 日限流

首次执行,肯定显示当日可以发成功
在这里插入图片描述
redis客户端查看日限制的key以及过期时间
在这里插入图片描述
今日想再次下发
在这里插入图片描述

2. 周限流

在日限流测试时,因为发过奖励了,所以也设置了周任务的限流key了的
在这里插入图片描述
判断周限流时需要先通过日限流,这里由于是在同一天测试,会被日限流拦住,为了方便测试,直接从redis客户端删除日限流的key,从而模拟为今日还没有发过奖励。删除操作如下
在这里插入图片描述

注:ttl命令返回值是键的剩余时间(单位是秒)。当键不存在时,ttl命令会返回-2。没有为键设置过期时间(即永久存在,这是建立一个键后的默认情况)返回-1。

再次执行程序
在这里插入图片描述

查看redis如下,可以看到日限流的key又设置上了,符合预期,同时周限流的key增加了1变为了2在这里插入图片描述

注:redis中的incr命令是不会改变key的过期时间的

继续把日限流的key删除,通过日限流的检查,去判断周限流,再一次执行程序
在这里插入图片描述

四:lua脚本

存在多个Redis操作的时候,最好还是使用Lua进行操作保证原子性,这里提供一个比较通用的计数Lua脚本。

-- 脚本第一个参数,用作限流的key
local key = KEYS[1]
-- 三个参数分别是上限、过期时间、步长
local upper = ARGV[1]
local expireSecond = ARGV[2]
local step = ARGV[3]

-- 取出current的值,不存在为0
local current = tonumber(redis.call('get', key) or "0")

-- 达到上限,返回-1(达到上限)
-- 当前请求是第一个,设置incrby再设置expire
-- 当前请求不是第一个,直接设置incrby
if current >= tonumber(upper) then
return -1
elseif current == 0 then
redis.call("INCRBY", key, step)
redis.call("EXPIRE", key, expireSecond)
return current + step
else
redis.call("INCRBY", key, step)
return current + step
end
白名单限流与热点参数限流
吴就业
09-22 627
白名单限流白名单过滤是使用最为广泛的一种过滤规则,例如,用于实现接口安全的 IP 黑白名单规则过滤,用于防骚扰的短信、来电拦截黑白名单过滤。所以 Sentinel 中的黑白名单限流并不难理解,如果配置黑名单,且请求来源存在黑名单中,则拦截(拒绝)请求,如果配置白名单,且请求来源存在白名单中则放行。Sentinel 不支持一个黑白名单规则同时配置黑名单白名单,因此不存优先级的问题。 黑白...
Redis数据库白名单设置教程
ABC17606298774的博客
12-07 1023
为了Redis数据库的安全稳定,在开始使用Redis实例前,需要将访问数据库的IP地址或者IP段添加到目标实例的白名单中。正确使用白名单可以让Redis得到高级别的访问安全保护,建议定期检查白名单。 相关文章:如何快速创建Redis实例 白名单功能需要特定版本内核的支持,若实例的内核版本不满足条件,在设置白名单时会出现提示信息,此...
基于Redis的Set实现白名单的过滤校验器
mutf7的博客
08-21 2753
基于Redis实现白名单的过滤校验器 黑白名单过滤器在实际开发中有很多种,比如:用户黑名单,IP黑名单等。在一些场景下,如果仅仅通过数据库DB来进行过滤处理。在并发量小的情况下是没有问题。 但是如果在高并发的场景下,可能会出现性能瓶颈,这时采用redis实现是最佳的选择方案。如何进行开发和处理呢? 答案:redis中的数据结构 set。 把黑名单的用户数据放入到redis的集合中。 在登录、评价或在一些需要限制的地方,通过sismember命令来查询用户是否在黑名单列表中,如果存在就返回1,不存在就返
python redis 实现IP校验 黑名单
suzimuyu99的博客
07-17 1715
python实现IP 检验,并且将10s内访问超过200次的ip加入黑名单列表。 本项目使用的是mongodb数据库  from datetime import datetime import logging # from redis import Redis import redis from mongoengine.context_managers import switch_coll...
使用Nginx OpenResty与Redis实现高效IP黑白名单管理
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 2536
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计的Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
Redis数据结构Set实战之黑名单校验器
再微小的光也是光,再平凡的人也有他们人生当中的高光时刻,记录学习的一点一滴,相信美好的事情即将发生。
07-14 2246
redis技术解决方案:黑名单过滤器除了针对上文说的淘宝评价,针对用户黑名单外,其实还有ip黑名单、设备黑名单等。在高并发的情况下,通过数据库过滤明显不符合要求,一般的做法都是通过Redis实现的。场景分析:淘宝的商品评价功能,不是任何人就能评价的,有一种职业就是差评师。差评师就是勒索敲诈商家,这种差评师在淘宝里面就被设置了黑名单,即使购买了商品,也评价不了。步骤2:评价的时候验证是否为黑名单,通过sismember命令来实现。步骤1:先把数据库的数据同步到redis的set集合中。
一次简单的基于Redis的每使用次数限制需求开发
zhanghailang1的博客
02-10 2351
新年快乐 『大伙们开工了不 ?』 过年刚回来,前两天需求还没出,摸鱼正开心呢,需求来了! 需求描述 需求是给系统内的用户发薪,需要用户添加/修改银行卡,对用户的银行卡的信息进行校验,这个校验的接口是从阿里云上找的供应商,不太能白嫖 ,每次请求这个接口收费1毛,但是预算有限,所以开发过程中产品强烈邀请增加一个校验:需要对每个用户添加/修改银行卡的操作进行限制,规则是每每人三次只能校验三次银行卡。 概要设计 需求本身也不难理解,相信xdm看到这个需求都能想到很多的解决方案,例如 在数据库中存储用户
基于redis的分布式限流
没有所谓的命运,只有不同的选择!
01-10 502
限流的几种算法,前边的文章《漏桶算法和令牌桶算法》已经讲过,本篇文章主要讲解Redisson分布式限流器, RRateLimiter是Redisson提供的一个分布式限流器,它基于Redis的原子操作实现限流算法使用的是令牌桶算法,确保了限流操作的准确性和高效性。如果是单点的应用,只要应用进行了限流,这样应用所依赖的各个服务也都能得到很好的保护。如果实现了分布式限流,那就可以方便的控制整个服务集群的请求限制,因为限制了整个集群的请求,所以服务依赖的各个应用和资源也就得到了限流的保护。
springcloud的网关(五)--基于redis实现分布式令牌桶的限流
qq_35755863的博客
06-17 3397
一:单机式令牌桶的缺陷 在上述的记账中我们讨论使用了Bucket来做限流机制。 /** * 创建一个令牌桶 * @return */ private Bucket createNewBucket() { Refill refill = Refill.of(1, Duration.ofSeconds(1000))...
分布式电商项目——15.秒杀接口实现高并发限流方案(网关限流
qq_28461661的博客
12-18 856
秒杀接口实现高并发限流方案 Java高并发实现限流算法 常见限流算法常用的限流算法有:令牌桶,漏桶。 令牌桶算法 在秒杀活动中,用户的请求速率是不固定的,这里我们假定为10r/s,令牌按照5个每秒的速率放入令牌桶,桶中最多存放20个令牌。仔细想想,是不是总有那么一部分请求被丢弃。 漏桶算法 漏桶算法的主要目的是控制数据注入到网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量...
Nginx + Lua + Redis:打造智能 IP 黑名单系统
cnzzs的博客
10-26 796
Nginx + Lua + Redis:打造智能 IP 黑名单系统nginx通过Lua+Redis实现动态封禁IP需求背景在Web服务中,为了防止恶意用户或爬虫对服务器造成不必要的负载和潜在的安全威胁,我们可以通过设置动态IP黑名单来拒绝来自这些IP的请求。本文将详细介绍如何使用Nginx配合Lua脚本及Redis数据库...
nginx+lua+redis黑名单加载
07-25
nginx+lua+redis黑名单加载,nginx+lua+redis黑名单加载。
SpringBoot+redis+aop处理黑白名单
weixin_60523038的博客
08-30 763
白名单,AOP黑白名单,SpringBoot
Java管理系统拉黑相关功能的实现(放入redis,不用建表)
CC805034104的博客
08-09 769
黑名单查询功能的话,用redisTemplate取出“blacklist”的所有key,然后创建ArrayList集合,遍历这个key,通过key截取到“blacklist”后面的值,然后取到id,查询出相应对象添加到ArrayList中。再生成一个“blacklist:”+id的业务键,然后将ip,phone,userID放入redis的hash结构当中存储,并且要设置永不过期。拉黑的话,我觉得是可以不写表的,只是个人理解,因为是不会出现高并发场景,所以我觉得就放入redis就足够了。
Redis数据库白名单如何设置
DYHTASYYJ的博客
08-27 628
为了Redis数据库的安全稳定,在开始使用Redis实例前,需要将访问数据库的IP地址或者IP段添加到目标实例的白名单中。正确使用白名单可以让Redis得到高级别的访问安全保护,建议定期检查白名单。 相关文章:如何快速创建Redis实例 白名单功能需要特定版本内核的支持,若实例的内核版本不满足条件,在设置白名单时会出现提示信息,此时将小版本升级到最新即可,详细步骤请参见升级小版本。 操作步骤 登录Redis管理控制台。 在界面左上方的菜单栏中选择实例所在的地域 。 在实例列表页,单击目标实例ID或者其右侧操
解决 Redis 穿透问题之黑名单
weixin_58215826的博客
05-24 401
4.判断数据库中是否有该商品,如果有就直接返回,如果没有就将查询的数据放入黑名单中。2.检查redis里面是否有该商品,如果有就直接返回,1.先查黑名单是否存在当前商品,如果有就抛出异常。3.如果没有就查询数据库,将数据缓存redis
redis使用场景之set(六)---黑名单白名单设定的服务控制
Rision666的博客
05-22 2677
业务场景 黑名单 资讯类信息类网站追求高访问量,但是由于其信息的价值,往往容易被不法分子利用,通过爬虫技术,快速获取信息,个别特种行业网站信息通过爬虫获取分析后,可以转换成商业机密进行出售,例如第三方火车票、机票、酒店刷屏代购软件、电商刷评论、刷好评。 同时爬虫带来的伪流量也会给经营者带来错觉,产生错误的决策,有效避免网站被爬虫反复爬去成为每个网站都要考虑的基本问题。在基于技术层面区分出爬虫用户后,需要将此类用户进行有效屏蔽,这就是黑名单的典型应用。 Ps:不是说爬虫一定做摧毁性的工作,有些小型网站需
Redis实现限流的三种方式
zhangjie602的博客
09-17 9800
限流Redis,令牌桶,滑动窗口,固定窗口,接口
Redis 实现限流策略
weixin_52383177的博客
11-15 1974
除了控制流量,限流还有一个应用目的是用于控制用户行为,避免垃圾请求。对非法行为,业务必须规定适当的惩处策略。
一个IP白名单功能如何设计
最新发布
08-07
<think>我们参考用户提供的引用内容,结合用户需求,设计一个IP白名单功能。根据引用[1]和[4],我们可以通过配置文件定义白名单列表,并实现一个拦截器来检查请求的IP是否在白名单中。同时,引用[5]提到了使用注解的方式,我们可以结合注解和拦截器来实现灵活的控制。 设计思路: 1.配置文件中配置IP白名单列表(支持多个IP,用逗号分隔)。 2. 创建一个注解`@IpWhitelist`,用于标记需要IP白名单检查的方法或控制器。 3. 实现一个拦截器(Interceptor),在请求到达时,如果该请求映射的方法或控制器上有`@IpWhitelist`注解,则进行IP白名单检查。 4. 在拦截器中获取请求的客户端IP,与配置白名单列表进行匹配。如果匹配成功则放行,否则返回403禁止访问。 具体步骤: 1. 配置文件(application.yml)中添加白名单配置: ```yaml ip: whitelist: 192.168.1.1,192.168.1.2 ``` 2. 创建注解`@IpWhitelist`: ```java @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface IpWhitelist { } ``` 3. 创建配置类`IpWhitelistConfig`,用于读取配置文件中的白名单列表: ```java @Configuration @ConfigurationProperties(prefix = "ip") public class IpWhitelistConfig { private List<String> whitelist; // 将配置的字符串分割成列表 public void setWhitelist(String whitelistStr) { this.whitelist = Arrays.asList(whitelistStr.split(",")); } public List<String> getWhitelist() { return whitelist; } } ``` 4. 实现拦截器`IpWhitelistInterceptor`: ```java @Component public class IpWhitelistInterceptor implements HandlerInterceptor { @Autowired private IpWhitelistConfig ipWhitelistConfig; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 判断handler是否为HandlerMethod(即控制器方法) if (handler instanceof HandlerMethod) { HandlerMethod handlerMethod = (HandlerMethod) handler; // 检查方法上是否有@IpWhitelist注解 if (handlerMethod.getMethod().isAnnotationPresent(IpWhitelist.class)) { // 获取客户端IP String clientIp = getClientIp(request); // 检查IP是否在白名单中 if (!ipWhitelistConfig.getWhitelist().contains(clientIp)) { response.sendError(HttpStatus.FORBIDDEN.value(), "Forbidden"); return false; } } } return true; } private String getClientIp(HttpServletRequest request) { String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } return ip; } } ``` 5. 注册拦截器到Spring MVC中: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private IpWhitelistInterceptor ipWhitelistInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(ipWhitelistInterceptor); } } ``` 6. 在需要白名单控制的控制器或方法上添加`@IpWhitelist`注解: ```java @RestController public class MyController { @IpWhitelist @GetMapping("/secure") public String secureEndpoint() { return "This is a secure endpoint"; } } ``` 这样,当访问`/secure`时,只有白名单中的IP才能访问。 注意:获取客户端IP的方法需要根据实际情况调整,因为请求可能会经过代理。 另外,根据引用[3]和引用[5],我们还可以考虑扩展黑名单功能,以及动态修改黑白名单的能力。但用户当前需求是白名单,所以我们先实现白名单。 如果需要动态更新白名单,可以考虑将白名单配置存储在数据库Redis中,并提供一个管理接口来更新,然后定时刷新或通过事件通知更新内存中的白名单列表。 性能考虑:白名单列表不会太大,所以使用List的contains方法在性能上是可以接受的。如果IP数量非常多(例如上千个),可以考虑使用HashSet来存储,以提高查找效率。 安全性:白名单是严格的访问控制,只有配置的IP才能访问,因此需要确保配置的IP地址正确无误。 引用[2]提到IP白名单在云原生和微服务架构中仍然重要,因此我们的实现也适用于这些架构。 [^1]: 通过分隔符将多个IP分割成列表,然后判断远端IP是否在列表中。 [^4]: 在配置文件中定义IP白名单列表。 [^5]: 使用注解标记需要拦截的方法,并在拦截器中实现IP检查逻辑。 --- §§相关问题§§ 1. 如何动态更新IP白名单而不用重启服务? 2. 如何实现IP黑名单功能? 3. 在微服务架构中如何集中管理IP白名单?</think>### IP白名单功能设计与实现 #### 核心设计思路 1. **配置化管理** 在配置文件中定义白名单列表,支持动态更新[^4]: ```yaml ip: whitelist: 192.168.1.1, 192.168.1.2, 10.0.0.0/24 ``` 2. **多层次验证架构** ```mermaid graph LR A[请求] --> B{IP白名单检查} B -->|通过| C[业务逻辑] B -->|拒绝| D[返回403错误] ``` 3. **数据结构优化** 使用HashSet存储IP地址实现$O(1)$时间复杂度查询: ```java private Set<String> whitelist = new HashSet<>(); ``` #### 完整实现方案 ##### 1. 配置文件解析 ```java @Configuration @ConfigurationProperties(prefix = "ip") public class IpWhitelistConfig { private List<String> whitelist = new ArrayList<>(); // 支持CIDR格式解析 public Set<String> getParsedWhitelist() { Set<String> parsedSet = new HashSet<>(); for (String ip : whitelist) { if (ip.contains("/")) { // 解析CIDR范围 parsedSet.addAll(parseCidr(ip)); } else { parsedSet.add(ip); } } return parsedSet; } } ``` ##### 2. 拦截器实现(Spring Boot) ```java @Component public class IpWhitelistInterceptor implements HandlerInterceptor { @Autowired private IpWhitelistConfig ipConfig; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { String clientIp = getClientIp(request); Set<String> whitelist = ipConfig.getParsedWhitelist(); if (!whitelist.contains(clientIp)) { response.setStatus(HttpStatus.FORBIDDEN.value()); return false; } return true; } // 获取真实客户端IP(考虑代理场景) private String getClientIp(HttpServletRequest request) { String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } return ip; } } ``` ##### 3. 注册拦截器 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private IpWhitelistInterceptor ipInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(ipInterceptor) .addPathPatterns("/api/**"); // 保护所有API端点 } } ``` ##### 4. 注解方式实现(可选) ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface IpWhitelistRequired { String value() default ""; } ``` ```java @Aspect @Component public class IpWhitelistAspect { @Autowired private IpWhitelistConfig ipConfig; @Around("@annotation(ipWhitelist)") public Object checkIp(ProceedingJoinPoint joinPoint, IpWhitelistRequired ipWhitelist) throws Throwable { HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes()).getRequest(); String clientIp = getClientIp(request); if (!ipConfig.getParsedWhitelist().contains(clientIp)) { throw new AccessDeniedException("IP not in whitelist"); } return joinPoint.proceed(); } } ``` #### 高级特性实现 1. **动态更新白名单** ```java @RestController public class IpWhitelistController { @Autowired private IpWhitelistConfig ipConfig; @PostMapping("/admin/whitelist") public void updateWhitelist(@RequestBody List<String> newIps) { ipConfig.setWhitelist(newIps); // 需要实现setter方法 } } ``` 2. **CIDR范围支持** ```java private List<String> parseCidr(String cidr) { SubnetUtils utils = new SubnetUtils(cidr); return Arrays.asList(utils.getInfo().getAllAddresses()); } ``` 3. **IPV6兼容处理** ```java private String normalizeIp(String ip) { try { InetAddress address = InetAddress.getByName(ip); return address.getHostAddress(); } catch (UnknownHostException e) { return ip; } } ``` #### 性能优化建议 1. 使用布隆过滤器(Bloom Filter)处理大规模IP列表(10万+),内存占用可降低90%[^3] 2. 采用Radix Tree(基数树)实现高效IP范围匹配,时间复杂度$O(k)$(k为IP地址长度) 3. 定期缓存白名单校验结果(TTL 1-5分钟) #### 安全增强措施 1. **管理接口保护** ```java @PostMapping("/admin/whitelist") @PreAuthorize("hasRole('ADMIN')") // 需Spring Security支持 public void updateWhitelist(...) { ... } ``` 2. **审计志** ```java @Slf4j public class IpWhitelistInterceptor ... { @Override public boolean preHandle(...) { if (!whitelist.contains(clientIp)) { log.warn("Blocked IP: {} accessing {}", clientIp, request.getRequestURI()); // ... } } } ``` 3. **速率限制** 结合Redis实现IP访问频率控制: ```java // 每个IP每分钟最多100次请求 String key = "ip_limit:" + clientIp; Long count = redisTemplate.opsForValue().increment(key, 1); if (count == 1) { redisTemplate.expire(key, 1, TimeUnit.MINUTES); } if (count > 100) { // 触发限流 } ``` > **性能数据**:HashSet查询性能$O(1)$,单节点可处理10万+ QPS[^1];布隆过滤器内存占用仅传统方案的1/10[^3] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值