SpringBoot使用Redis进行API防刷限流

本课程系码炫课堂3位1体之-【实战篇-SpringBoot使用Redis进行API防刷限流】，smart哥手把手带大家学习如何进行api的限流，本课程是从实际项目中抽取的案例，80%的内容和实际项目一致，所以课程基本还原了当时的实际场景。

讲师简介

smart哥，互联网悍将，历经从传统软件公司到大型互联网公司的洗礼，入行即在中兴通讯等大型通信公司担任项目leader，后随着互联网的崛起，先后在美团支付等大型互联网公司担任架构师，公派旅美期间曾与并发包大神Doug Lea探讨java多线程等最底层的核心技术。对互联网架构底层技术有相当的研究和独特的见解，在多个领域有着丰富的实战经验。

限流场景

限流的需求出现在许多常见的场景中：

• 秒杀活动，有人使用软件恶意刷单抢货，需要限流防止机器参与活动
• 某api被各式各样系统广泛调用，严重消耗网络、内存等资源，需要合理限流
• 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口，免费提供给用户时需要限流，更具有实时性和准确性的接口需要付费。

API限流自定义注解

首先我们编写注解类AccessLimit，使用注解方式在方法上限流更优雅更方便！

三个参数分别代表有效时间、最大访问次数、是否需要登录，可以理解为 seconds 内最多访问 maxCount 次。

package com.maxuan.service;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AccessLimit {
    int seconds();
    int maxCount();
    boolean needLogin() default true;
}

限流的思路

• 通过ip:api路径的作为key，访问次数为value的方式对某一用户的某一请求进行唯一标识
• 每次访问的时候判断key是否存在，是否count超过了限制的访问次数
• 若访问超出限制，则应response返回msg:请求过于频繁给前端予以展示

package com.maxuan.component;

import com.maxuan.service.AccessLimit;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class AccessLimtInterceptor implements HandlerInterceptor {

    @Resource
    private RedisUtil redisUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        if (handler instanceof HandlerMethod) {
            HandlerMethod hm = (HandlerMethod) handler;
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if (null == accessLimit) {
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();
            boolean needLogin = accessLimit.needLogin();

            if (needLogin) {
                //判断是否登录
            }

            //客户端ip地址
            String ip = request.getRemoteAddr();
            String key = ip + ":" + request.getServletPath();

            Integer count = (Integer) redisUtil.get(key);
            //第一次访问
            if (null == count || -1 == count) {
                redisUtil.set(key, 1);
                //设置过期时间
                redisUtil.expire(key, seconds);
                return true;
            }

            //如果访问次数<最大次数，则加1操作
            if (count < maxCount) {
                redisUtil.incr(key, 1);
                return true;
            }

            //超过最大值返回操作频繁
            if (count >= maxCount) {
                System.out.println("count=="+count);
                response.setContentType("text/html;charset=utf-8");
                response.getWriter().write("请求过于频繁，请稍后再试");
                return false;
            }
        }
        return true;
    }
}

注册拦截器并配置拦截路径和不拦截路径：

package com.maxuan.component;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class IntercepterConfig implements WebMvcConfigurer {
    @Autowired
    private AccessLimtInterceptor accessLimtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(accessLimtInterceptor)
                .addPathPatterns("/access/accessLimit")
                .excludePathPatterns("/access/login");
    }
}

在Controller层的方法上直接可以使用注解@AccessLimit

package com.maxuan.controller;

import com.maxuan.service.AccessLimit;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("access")
public class AccessControler {

    @ResponseBody
    @GetMapping("accessLimit")
    //3秒内最多访问10次
    @AccessLimit(seconds = 3, maxCount = 10)
    public String accessLimit() {
        return "it is ok";
    }
}

课程目录：

1、api限流总体方案讲解(18:45)

2、工程框架搭建及自定义注解限流参数(15:09)

3、拦截器实现限流拦截(13:36)

4、实现控制层及拦截路径设置(14:59)

5、限流方案调试(18:15)

smart_an

海报 链接