经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 程序设计 » ASP.net » 查看文章
Asp-Net-Core开发笔记:使用原生的接口限流功能
来源:cnblogs  作者:程序设计实验室  时间:2024/5/22 14:57:10  对本文有异议

前言

之前介绍过使用 AspNetCoreRateLimit 组件来实现接口限流

从 .Net7 开始,AspNetCore 开始内置限流组件,当时我们的项目还在 .Net6 所以只能用第三方的

现在都升级到 .Net8 了,当然是得来试试这个原生组件

体验后:配置使用都比较简单,不过功能也没有 AspNetCoreRateLimit 那么灵活

注册服务

为了保持 Program.cs 的代码简洁,依然是使用扩展方法来实现服务注册和配置

src/IdsLite.Api/Extensions/CfgRateLimit.cs 文件中

  1. public static class RateLimitPolicies {
  2. public const string Fixed = "fixed";
  3. public const string Sliding = "sliding";
  4. }
  5. public static class CfgRateLimit {
  6. public static IServiceCollection AddRateLimit(this IServiceCollection services) {
  7. services.AddRateLimiter(options => {
  8. options.AddFixedWindowLimiter(RateLimitPolicies.Fixed, opt => {
  9. opt.Window = TimeSpan.FromMinutes(1); // 时间窗口
  10. opt.PermitLimit = 3; // 在时间窗口内允许的最大请求数
  11. opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst; // 请求处理顺序
  12. opt.QueueLimit = 2; // 队列中允许的最大请求数
  13. });
  14. });
  15. return services;
  16. }
  17. public static IApplicationBuilder UseRateLimit(this IApplicationBuilder app) {
  18. app.UseRateLimiter();
  19. return app;
  20. }
  21. }

这里使用了 Fixed Window (固定窗口)的策略来进行限流,具体配置代码里面有注释。

PS: 关于四种常用的限流策略(固定/滑动窗口、令牌桶、并发),上一篇文章已经介绍过了

接着在 Program.cs 文件中添加

  1. builder.Services.AddRateLimit();

配置中间件

  1. var app = builder.Build();
  2. app.MapHealthChecks("/healthz");
  3. app.UseDefaultFiles();
  4. app.UseStaticFiles();
  5. app.UseExceptionless();
  6. app.UseHttpsRedirection();
  7. app.UseRouting(); // Routing should be defined before applying rate limiting
  8. app.UseRateLimiter(); // Rate limiting should be applied after routing
  9. app.UseCors(); // CORS should be applied after rate limiting
  10. app.UseAuthentication(); // Authentication should be applied before authorization
  11. app.UseAuthorization(); // Authorization should be applied after authentication
  12. app.UseSwaggerWithAuthorize();
  13. app.MapControllers();
  14. app.Run();

注意这里一定要把限流中间件放在 UseRouting 之后的第一个

因为我们要在具体的接口上添加限流策略,所以要在请求已经被路由到指定的接口之后再进行限流

为接口添加限流配置

在需要限流的 Controller 或者接口方法上添加 [EnableRateLimiting(RateLimitPolicies.Fixed)] 就可以了

比如这个登录接口

  1. [HttpPost("login/password")]
  2. [EnableRateLimiting(RateLimitPolicies.Fixed)]
  3. [ValidateClient(ClientIdSource.Body, ParameterName = "ClientId")]
  4. public async Task<IActionResult> LoginByPassword(PwdLoginDto dto) {}

测试效果

在 shell 中使用 curl 进行接口测试

  1. for i in {1..11}; do curl http://localhost:5000/api/auth/login/password; done

按照上述的配置的话,在第11个请求的时候,触发了限流策略,应该会卡住,等到1分钟后才能返回

因为我们配置了 opt.QueueLimit = 2 即触发限流时,可以有 2 个请求在队列里排队,这 2 个请求会一直等到系统可以重新生成响应为止。

如果有第 3 个请求进来,则立刻返回 503 (Service Unavailable) ,这个组件默认就是 503 ,也可以自己配置成 429 (Too many requests)

配置

配置等待队列

opt.QueueLimit 设置为 0 ,可以实现触发限流立刻拒绝响应

自定义拒绝响应

前面说触发限流返回503,我们也可以自己配置成 429

  1. services.AddRateLimiter(options => {
  2. options.OnRejected = (context, token) => {
  3. // 检查 context.Lease 中是否包含 RetryAfter 元数据
  4. // RetryAfter 元数据通常指示客户端应该在多少秒后重试请求
  5. if (context.Lease.TryGetMetadata(MetadataName.RetryAfter, out var retryAfter)) {
  6. // 如果 RetryAfter 元数据存在,将 RetryAfter 值(以秒为单位)添加到响应头中
  7. context.HttpContext.Response.Headers.RetryAfter =
  8. ((int)retryAfter.TotalSeconds).ToString(NumberFormatInfo.InvariantInfo);
  9. }
  10. context.HttpContext.Response.StatusCode = StatusCodes.Status429TooManyRequests;
  11. context.HttpContext.Response.WriteAsync("Too many requests. Please try again later.",
  12. cancellationToken: token);
  13. return new ValueTask();
  14. };
  15. });

其实这个是官方文档里的写法,最关键的就是 context.HttpContext.Response.StatusCode 这一行,其他的都是锦上添花,可以省略。

扩展

根据IP地址进行限流

之前我使用 AspNetCoreRateLimit 组件的时候,直接使用了它提供的 IP 地址限流功能

在原生的 Microsoft.AspNetCore.RateLimiting 中,没有内置这个功能,需要自己来实现

我看了下文档里介绍的,思路是为每一个 IP 地址创建一个分区 (PartitionedRateLimiter.Create),在每个分区里再配置限流策略

详见官方文档的 limiter-with-onrejected-retryafter-and-globallimiter 部分

这种实现方式还要考虑一下,应用容易受到采用 IP 源地址欺骗的拒绝服务攻击,详见参考资料

PS: 有点复杂,我还是用回 AspNetCoreRateLimit 得了,真是折腾

根据用户进行限流

通过自定义策略,可以实现根据登录用户进行限流,比如每个用户每分钟只能请求 10 次这样子

详见官方文档的 limiter-with-authorization 部分

对了,官方文档里还提到了 dotnet user-jwts 这个工具,第一次听到,先 mark 一下,后面来看看咋样

小结

就这样吧,试用了一下,感觉还是太折腾,用回原来的 AspNetCoreRateLimit 组件得了

参考资料

原文链接:https://www.cnblogs.com/deali/p/18205858

 友情链接:直通硅谷  点职佳  北美留学生论坛

本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
皖ICP备17017327号-2 皖公网安备34020702000426号