SpringCloud微服务安全API安全 2-3 限流实现注入攻击防护
Posted 鮀城小帅
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringCloud微服务安全API安全 2-3 限流实现注入攻击防护相关的知识,希望对你有一定的参考价值。
1. 概念
流控,流量控制,只放系统能处理的请求的数量过去,处于api安全链路的第一关。
为什么要做流控?保证系统的可用性,防止大流量把系统给压死。流控的位置做在认证、审计、授权等整个安全机制的最前边,提前控制流量,避免其他无用的资源浪费。
如果没有流控放在第一道档线,攻击者弄一堆肉鸡,发起DDOS攻击,即使你后边的认证、审计、授权 做得再好,也可能把你的服务压死。
比如系统每秒只能处理500个请求,那么每秒就放500个请求过去,多了的请求直接拒绝掉,这样的话系统不会被压死。实际中的流控是非常复杂的,不是简单地设个数就完了。
2. 流控做在哪?
实际开发中限流可以在很多地方做的, 比如:
- 负载均衡上做,
- 在反向代理上做,
在负载均衡或反向代理层面上做限流,实际上一般是针对真个集群做的限流。比如你一个用户服务,实际部署的时候可能是四个机器或者八个机器的集群,在负载均衡或反向代理层面做的集群就是真对整个集群做的限流,整个集群能撑多少流量,做个限流。
3. 在自己的应用代码上做。
只针对单个应用的节点做的流控,跟反向代理、负载均衡做的限流不是一个维度的,如果能配的话,把两边都配上,他们并不冲突。后边会介绍通过框架控制集群的流量。
3. 使用Guava做简单的限流
3.1 在pom引入最新的guava依赖
<!-- https://mvnrepository.com/artifact/com.google.guava/guava -->
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>28.1-jre</version>
</dependency>3.2 限流器代码
/**
* @ClassName RateLimitFilter
* @Description TODO
* @Author wushaopei
* @Date 2020/10/15 23:40
* @Version 1.0
*/
@Component
public class RateLimitFilter extends OncePerRequestFilter {
private RateLimiter rateLimiter = RateLimiter.create(1);
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
// 当前请求未执行完成,则其他请求不进入,打印 too many request
if(rateLimiter.tryAcquire()){
filterChain.doFilter(request,response);
}else{
response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
response.getWriter().write("too many request!!");
response.getWriter().flush();
return;
}
}
}
3.3 启动限流器后发起密集请求的结果:
3.4关于RateLimiter的参数:
RateLimiter经常用于限制对一些物理资源或者逻辑资源的访问速率
| 修饰符和类型 | 方法和描述 |
|---|---|
| static RateLimiter | create(double permitsPerSecond) 根据指定的稳定吞吐率创建RateLimiter,这里的吞吐率是指每秒多少许可数(通常是指QPS,每秒多少查询) |
| boolean | tryAcquire() 简单理解就是,许可没有被请求占用,如果被占用说明有请求未完成。 |
以上是关于SpringCloud微服务安全API安全 2-3 限流实现注入攻击防护的主要内容,如果未能解决你的问题,请参考以下文章
SpringCloud微服务安全API安全 2-2 注入攻击防护
SpringCloud微服务安全实战API安全 3-9 总结