SpringCloud微服务安全（二）API安全 2-3 限流实现注入攻击防护

悠悠 2023-01-18 06:41 165阅读 0赞

## 1. 概念 ##

**流控，流量控制，只放系统能处理的请求的数量过去，处于api安全链路的第一关。**

为什么要做流控？保证系统的可用性，防止大流量把系统给压死。流控的位置做在认证、审计、授权等整个安全机制的最前边，提前控制流量，避免其他无用的资源浪费。

如果没有流控放在第一道档线，攻击者弄一堆[肉鸡][Link 1]，发起[DDOS][]攻击，即使你后边的认证、审计、授权 做得再好，也可能把你的服务压死。

比如系统每秒只能处理500个请求，那么每秒就放500个请求过去，多了的请求直接拒绝掉，这样的话系统不会被压死。实际中的流控是非常复杂的，不是简单地设个数就完了。

## 2. **流控做在哪？** ##

实际开发中限流可以在很多地方做的， 比如：

1.  负载均衡上做，
2.  在反向代理上做，

在负载均衡或反向代理层面上做限流，实际上一般是针对真个集群做的限流。比如你一个用户服务，实际部署的时候可能是四个机器或者八个机器的集群，在负载均衡或反向代理层面做的集群就是真对整个集群做的限流，整个集群能撑多少流量，做个限流。

3. 在自己的应用代码上做。

只针对单个应用的节点做的流控，跟反向代理、负载均衡做的限流不是一个维度的，如果能配的话，把两边都配上，他们并不冲突。后边会介绍通过框架控制集群的流量。

## 3. 使用Guava做简单的限流 ##

### 3.1 在pom引入最新的guava依赖 ###

<dependency>
    　　<groupId>com.google.guava</groupId>
    　　<artifactId>guava</artifactId>
    　　<version>28.1-jre</version>
    </dependency>

### 3.2 限流器代码 ###

/**
     * @ClassName RateLimitFilter
     * @Description TODO
     * @Author wushaopei
     * @Date 2020/10/15 23:40
     * @Version 1.0
     */
    @Component
    public class RateLimitFilter extends OncePerRequestFilter {
    
        private RateLimiter rateLimiter = RateLimiter.create(1);
    
        @Override
        protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    
            // 当前请求未执行完成，则其他请求不进入，打印 too many request
            if(rateLimiter.tryAcquire()){
                filterChain.doFilter(request,response);
            }else{
                response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
                response.getWriter().write("too many request!!");
                response.getWriter().flush();
                return;
            }
        }
    }

### 3.3 启动限流器后发起密集请求的结果： ###

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjQwNTY3MA_size_16_color_FFFFFF_t_70][]

### **3.4关于RateLimiter的参数：** ###

RateLimiter经常用于限制对一些物理资源或者逻辑资源的访问速率

<table> 
 <tbody> 
  <tr> 
   <th><strong>修饰符和类型</strong></th> 
   <th><strong>方法和描述</strong></th> 
  </tr> 
  <tr> 
   <td>static&nbsp;RateLimiter</td> 
   <td>create(double&nbsp;permitsPerSecond)<br> 根据指定的稳定吞吐率创建RateLimiter，这里的吞吐率是指每秒多少许可数（通常是指QPS，每秒多少查询）</td> 
  </tr> 
  <tr> 
   <td>boolean</td> 
   <td> <p>tryAcquire()<br> 从RateLimiter&nbsp;获取许可，如果该许可可以在无延迟下的情况下立即获取得到的话</p> <p>简单理解就是，<strong>许可没有被请求占用，如果被占用说明有请求未完成。</strong></p> </td> 
  </tr> 
 </tbody> 
</table>

[Link 1]: https://baike.baidu.com/item/%E8%82%89%E9%B8%A1/33880?fr=aladdin
[DDOS]: https://baike.baidu.com/item/%E5%88%86%E5%B8%83%E5%BC%8F%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB/3802159?fromtitle=DDOS&fromid=444572
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjQwNTY3MA_size_16_color_FFFFFF_t_70]: /images/20221021/f6ff827d19984289b230fc60e0ce14ed.png