微服务开发中有时需要对API做限流保护,防止网络攻击,比如做一个短信验证码API,限制客户端的请求速率能在一定程度上抵御短信轰炸攻击,降低损失。微服务网关是每个请求的必经入口,非常适合做一些API限流、认证之类的操作,本文介绍Zuul如何进行限流操作,对Zuul不了解的可以参考我这篇文章:SpringCloud组件之Zuul
一、Ratelimit相关配置介绍
1、限流策略
| 限流粒度/类型 | 说明 |
|---|---|
| Authenticated User | 使用经过身份验证的用户名或“匿名” |
| Request Origin | 使用用户原始请求 |
| URL | 使用下游服务的请求路径 |
| ROLE | 使用经过身份验证的用户角色 |
| Request method | 使用HTTP请求方法 |
| Global configuration per service | 这个不验证请求Origin,Authenticated User或URI,要使用这个,请不要设置type |
2、可用的实现
| 存储类型 | 说明 |
|---|---|
| consul | 基于consul |
| redis | 基于redis,使用时必须引入redis相关依赖 |
| JPA | 基于SpringDataJPA,需要用到数据库 |
| MEMORY | 基于本地内存,默认 |
| BUKET4J | 使用一个Java编写的基于令牌桶算法的限流库 |
Bucket4j实现需要相关的bean @Qualifier("RateLimit"):
- JCache - javax.cache.Cache
- Hazelcast - com.hazelcast.core.IMap
- Ignite - org.apache.ignite.IgniteCache
- Infinispan - org.infinispan.functional.ReadWriteMap
3、常见的配置属性
| 属性名 | 值 | 默认值 |
|---|---|---|
| enabled | true/false | false |
| behind-proxy | true/false | false |
| add-response-header | true/false | false |
| key-prefix | string | ${spring.application.name:rate-limit-application} |
| repository | CONSUL, REDIS, JPA, BUCKET4J_JCACHE, BUCKET4J_HAZELCAST, BUCKET4J_INFINISPAN, BUCKET4J_IGNITE | - |
| default-policy-list | list-of-policy | - |
| policy-list | Map of Lists of Policy | - |
| postFilterOrder | int | FilterConstants.SEND_RESPONSE_FILTER_ORDER - 10 |
| preFilterOrder | int | FilterConstants.FORM_BODY_WRAPPER_FILTER_ORDER |
policy的相关属性
| 属性名 | 值 | 默认值 |
|---|---|---|
| limit | number of calls | - |
| quota | time of calls | - |
| refresh-interval | seconds | 60 |
| type | [ORIGIN, USER, URL, ROLE] | [] |
4、发生错误如何处理
@Bean
public RateLimiterErrorHandler rateLimitErrorHandler() {
return new DefaultRateLimiterErrorHandler() {
@Override
public void handleSaveError(String key, Exception e) {
// custom code
}
@Override
public void handleFetchError(String key, Exception e) {
// custom code
}
@Override
public void handleError(String msg, Exception e) {
// custom code
}
}
}二、搭建Zuul结合Ratelimit服务
1、导入依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-zuul</artifactId>
</dependency>
<dependency>
<groupId>com.marcosbarbero.cloud</groupId>
<artifactId>spring-cloud-zuul-ratelimit</artifactId>
<version>2.2.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>2、启动类标注解
@SpringBootApplication
@EnableEurekaClient
@EnableZuulProxy
public class ZuulRatelimitApplication {
public static void main(String[] args) {
SpringApplication.run(ZuulRatelimitApplication.class, args);
}
}3、配置文件
server:
port: 8080
spring:
application:
name: zuul-ratelimit
redis:
host: localhost
password:
zuul:
# 配置路由
routes:
demo:
path: /demo/**
serviceId: demo
# 配置限流
ratelimit:
enabled: true
# 对应存储类型(用来统计存储统计信息)
repository: redis
# 配置路由的策略
policy-list:
demo:
# 每秒允许多少个请求
- limit: 2
# 刷新时间(单位秒)
refresh-interval: 1
# 根据什么统计
type:
- url4、启动后进行访问
由于我们配置的是一秒只允许两个请求,当我们超过时,会抛出过多请求异常
到此本文就结束啦,更多相关知识可以前往:spring-cloud-zuul-ratelimit,本demo地址:SpringCloud-Demo
