基于Redis實現(xiàn)API接口訪問次數(shù)限制

更新時間：2024年11月12日 10:58:33 作者：東皋長歌

日常開發(fā)中會有一個常見的需求,需要限制接口在單位時間內(nèi)的訪問次數(shù),比如說某個免費的接口限制單個IP一分鐘內(nèi)只能訪問5次,該怎么實現(xiàn)呢,本文小編給大家介紹了如何基于Redis實現(xiàn)API接口訪問次數(shù)限制,需要的朋友可以參考下

一，概述

日常開發(fā)中會有一個常見的需求，需要限制接口在單位時間內(nèi)的訪問次數(shù)，比如說某個免費的接口限制單個IP一分鐘內(nèi)只能訪問5次。該怎么實現(xiàn)呢，通常大家都會想到用redis，確實通過redis可以實現(xiàn)這個功能，下面實現(xiàn)一下。

二，常見錯誤

固定時間窗口

有人設計了一個在每分鐘內(nèi)只允許訪問1000次的限流方案，如下圖01:00s-02:00s之間只允許訪問1000次。這種設計的問題在于，請求可能在01:59s-02:00s之間被請求1000次，02:00s-02:01s之間被請求了1000次，這種情況下01:59s-02:01s間隔0.02s之間被請求2000次，很顯然這種設計是錯誤的。

三，實現(xiàn)

1，基于滑動時間窗口

在指定的時間窗口內(nèi)次數(shù)是累積的，超過閾值，都會限制。

2，流程如下

3，代碼實現(xiàn)

前提：pom文件引入redis，Spring AOP等

（1）添加注解RequestLimit

package com.xxx.demo.aspect;
 
import java.lang.annotation.*;
 
 
/**
 * 接口訪問頻率注解，默認一分鐘只能訪問10次
 */
@Documented
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface RequestLimit {
    // 限制時間 單位：秒(默認值：一分鐘）
    long period() default 60;
    // 允許請求的次數(shù)(默認值：10次）
    long count() default 10;
}

（2）添加切面實現(xiàn)注解的限制訪問邏輯

package com.xxx.demo.aspect;
 
import com.xgd.demo.commons.ErrorCode;
import com.xgd.demo.handler.BusinessException;
import com.xgd.demo.util.IpUtil;
import jakarta.servlet.http.HttpServletRequest;
import lombok.extern.log4j.Log4j2;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ZSetOperations;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import java.util.concurrent.TimeUnit;
 
/**
 * @date 2024/11/8 上午8:43
 */
@Aspect
@Component
@Log4j2
public class RequestLimitAspect {
    @Autowired
    RedisTemplate redisTemplate;
 
    @Pointcut("@annotation(requestLimit)")
    public void controllerAspect(RequestLimit requestLimit) {}
 
    @Around("controllerAspect(requestLimit)")
    public Object doAround(ProceedingJoinPoint joinPoint, RequestLimit requestLimit) throws Throwable {
        // 從注解中獲取限制次數(shù)和窗口時間
        long period = requestLimit.period();
        long limitCount = requestLimit.count();
 
        // 請求
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        assert attributes != null;
        HttpServletRequest request = attributes.getRequest();
        String ip = IpUtil.getIpFromRequest(request);
        String uri = request.getRequestURI();
        //設置客戶端訪問的key
        String key = "req_limit_".concat(uri).concat(ip);
 
        ZSetOperations zSetOperations = redisTemplate.opsForZSet();
        // 添加當前時間戳，分數(shù)為當前時間戳
        long currentMs = System.currentTimeMillis();
        zSetOperations.add(key, currentMs, currentMs);
        // 設置窗口時間作為過期時間
        redisTemplate.expire(key, period, TimeUnit.SECONDS);
        // 移除掉不在窗口里的數(shù)據(jù)
        zSetOperations.removeRangeByScore(key, 0, currentMs - period * 1000);
        // 查詢窗口內(nèi)已經(jīng)訪問過的次數(shù)
        Long count = zSetOperations.zCard(key);
        if (count > limitCount) {
            log.error("接口攔截：{} 請求超過限制頻率【{}次/{}s】,IP為{}", uri, limitCount, period, ip);
            throw new BusinessException(ErrorCode.REQUEST_LIMITED.getCode(), ErrorCode.REQUEST_LIMITED.getMessage());
        }
 
        // 繼續(xù)執(zhí)行請求
        return  joinPoint.proceed();
    }
}

上面里面請求被攔截，是拋出了一個自定義的業(yè)務異常，大家可以根據(jù)自己的情況自己定義。

（3）同時附上上面中引用到自定義工具類

package com.xxx.demo.util;
 
import jakarta.servlet.http.HttpServletRequest;
import java.util.Objects;
 
/**
 * @date 2024/11/8 上午9:06
 */
public class IpUtil {
    private static final String X_FORWARDED_FOR_HEADER = "X-Forwarded-For";
    private static final String X_REAL_IP_HEADER = "X-Real-IP";
 
    /**
     * 從請求中獲取IP
     *
     * @return IP；當獲取不到時，返回null
     */
    public static String getIpFromRequest(HttpServletRequest request ) {
        return getRealIp(request);
    }
 
    /**
     * 獲取請求的真實IP，優(yōu)先級從高到低為：<br/>
     * 1.從請求頭X-Forwarded-For中獲取ip，并且只獲取第一個ip（從左到右） <br/>
     * 2.從請求頭X-Real-IP中獲取ip <br/>
     * 3.使用{@link HttpServletRequest#getRemoteAddr()}方法獲取ip
     *
     * @param request 請求對象，必須不能為null
     * @return ip
     */
    private static String getRealIp(HttpServletRequest request) {
        Objects.requireNonNull(request, "request must be not null");
 
        String ip = request.getHeader(X_FORWARDED_FOR_HEADER);
        if (ip != null && !ip.isBlank()) {
            int delimiterIndex = ip.indexOf(',');
            if (delimiterIndex != -1) {
                // 如果存在多個ip，則取第一個ip
                ip = ip.substring(0, delimiterIndex);
            }
 
            return ip;
        }
 
        ip = request.getHeader(X_REAL_IP_HEADER);
        if (ip != null && !ip.isBlank()) {
            return ip;
        } else {
            return request.getRemoteAddr();
        }
    }
}

（4）使用注解

這里限制為10秒內(nèi)只允許訪問3次，超過就拋出異常