WEB限流

最新推荐文章于 2025-07-27 11:20:32 发布
原创 最新推荐文章于 2025-07-27 11:20:32 发布 · 500 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #架构 #软技能

限流:

实例:1S 内QPS < 100,按照这个举例

位置:网关GETWAY,服务AOP

场景:

1. 租户:限制某个租户下所有用户的访问次数

2. 用户:某个用户访问次数

3. API(资源):用于保护紧俏资源的访问,优先级最高

4. IP: 限制某个客户端IP

限制单位:可配置最好

1. 1S 累计

2. 3S 累计

限流算法

1. 计数器:

    - 方法:count; countLastTime ,limit  统计当前时间<本次截止时间

    - 问题:是否控制并发 控制有并发性能瓶颈; 不控制 则有边界问题

2. 滑动时间窗口:

    - 逻辑:计算当前访问时刻,向前推1S时间,统计数量。超过阈值 则认为需要限流100;需要记录每次访问的时刻

    - 滑动粒度:根据时间戳,向前滑动1S实际是按照ms作为维度,为了实现统计一定时间段内的访问次数,可以按照10ms,100ms为维度。粒度放大就将超出并发放大,比如:100ms 内有100个请求,那么1ms就是1个,边界控制超出去的就是100和1的区别

    - 好处:同样有边界和并发问题,当然粒度越小则控制超出的请求越少

3. 漏桶算法:

    - 逻辑:既然服务能力是1s处理100个请求,那么服务就按照1S拿100个请求固定速率下发请求

    - 控制:漏桶实现(排队长度,等待超时),请求下发器

    - 不足:假如是第1ms就来了100个,也会拆分为匀速到1S内消费100个。白白的等了将近1S

4. 令牌桶算法:

    - 逻辑:最开始,令牌桶是空的,我们以恒定速率往令牌桶里加入令牌,当桶被装满时,多余的令牌会被丢弃。当请求到来时,会从令牌桶获取令牌,获取成功则请求被放行,获取失败则阻塞或拒绝请求。那么当突发流量来临时,只要令牌桶有足够的令牌,就不会被限流。

    - 令牌是一次下发的,不会匀速下发

拒绝策略:超过阈值处理方法

1. 直接丢弃

2. 排队等待(排队等待最长时间,队列长度)

实现:

1. Google Guava 工具包中的 RateLimiter 

2. Redis incr命令 expire命令 lua脚本

3. 阿里开源的 Sentinel 

参考:

https://cloud.tencent.com/developer/article/2433038

https://zhuanlan.zhihu.com/p/2483538988

ASP.NET Core 的 Web Api 实现限流 中间件
lwpoor123的博客
01-16 1845
中间件提供速率限制中间件。类提供下列用于限制速率的扩展方法:​​​​​。
Gateway网关限流
qq_31155349的博客
09-15 2739
网关是所有请求的公共入口,所以可以在网关进行限流,而且限流的方式也很多,我们本次采用Sentinel组件来实现网关的限流。Sentinel支持对SpringCloud Gateway、Zuul等主流网关进行限流。 从Sentinel1.6.0版本开始,Sentinel提供了SpringCloud Gateway的适配模块,可以提供两种资源维度的限流: route维度:即在Spring配置文件中配置的路由条目,资源名为对应的routeId 自定义API维度:用户可以利用Sentinel提供的API来自定
[Web]——限流
xz857的博客
03-08 629
限流概念:什么是限流呢?限流是限制到达系统的并发请求数量,保证系统能够正常响应部分用户请求,而对于超过限制的流量,则通过拒绝服务的方式保证整体系统的可用性。限流的分类根据作用范围可以分为单机限流和分布式限流根据限流方式可以分为计数器,滑动窗口,漏桶,令牌桶限流方式:一.计数器原理:在一段时间内通过计数的方式对请求数进行统计,当count超过某个阈值的时候判断是否需要进行限流,到达时间临界点时count清零简单来说就是超过了某个阈值就限流,断绝之后的请求,但是是在某段时间内。
【javaWeb】 接口限流-QPS
精益求精
09-28 1356
很多做服务接口的人或多或少的遇到这样的场景,由于业务应。
Java web应用性能分析之【高并发之限流
为无为,事无事,味无味。
05-18 1168
在微服务架构下,各接口对应的服务至少是启动两个,且运行在多台服务器上,而我们的单机限流一般都是基于jvm层面的限流,只能在单台服务器上限流,有一定的局限性,一般是用于多线程级别的限流限流在本质上,是设置一个资源数量上限,超出这个上限的请求,将被缓冲,或者直接失败,是一种过载保护。Nginx入口限流:通常在网关层的上游,在用户请求到达业务服务前进行处理,在入口的Nginx做限流,然后再将请求转发给网关,网关再调用其他的微服务,从而实现整个流程的请求调用,Nginx入口 限流也是分布式系统中常用的限流手段。
javaweb项目如何进行限流
qwertyuiopasdfghjklzxcvbnm
03-10 876
随着微服务的流行,服务和服务之间的依赖越来越强,调用关系越来越复杂,服务和服务之间的稳定性越来越重要。在遇到突发的请求量激增,恶意的用户访问,亦或请求频率过高给下游服务带来较大压力时,我们常常需要通过缓存、限流、熔断降级、负载均衡等多种方式保证服务的稳定性。
javaweb系统限流方法
指尖的点滴
08-26 697
web系统在高并发场景下,为避免系统宕机或出现功能完全不可用的情况下,需要进行相应的限流处理。限流处理应该结合系统架构和业务逻辑进行处理,下面列一些相关限流方法。 代理层 代理层常用的是用nginx做反向代理。nginx可以进行的限流配置有: 第一种:limit_conn_zone限制连接数,特别是来自单个IP地址的连接数。并非所有连接都会被计 数。仅包含服务器正在处理的请求并且已读取整个请求头时,才对连接进行计数。 在http字段中添加:limit_conn_zone $bina...
SpringBoot 限流实现
小程序
06-20 4621
高并发访问时,缓存、限流、降级往往是系统的利剑,在互联网蓬勃发展的时期,经常会面临因用户暴涨导致的请求不可用的情况,甚至引发连锁反映导致整个系统崩溃。这个时候常见的解决方案之一就是限流了,当请求达到一定的并发数或速率,就进行等待、排队、降级、拒绝服务等 限流算法介绍 a、令牌桶算法 令牌桶算法的原理是系统会以一个恒定的速度往桶里放入令牌,而如果请求需要被处理,则需要先从桶里获取一个令牌,当桶里没有...
springboot工程中限流方式
ldcaws的专栏
03-26 4431
限流,是防止用户恶意刷新接口。常见的限流方式有阿里开源的sentinel、redis等。 1、google的guava,令牌桶算法实现限流 Guava的 RateLimiter提供了令牌桶算法实现:平滑突发限流(SmoothBursty)和平滑预热限流(SmoothWarmingUp)实现。 // RateLimiter提供了两个工厂方法,最终会调用下面两个函数,生成RateLimiter的两个子类。 static RateLimiter create(SleepingStopwatch stopwatch
分布式接口限流实现
浪人与酒
06-19 2519
文章目录为什么要接口限流为什么要做分布式实现方式1. 算法实现(无分布式,单体架构,单节点)2. 分布式实现 为什么要接口限流 在我们项目开发过程中,有些接口是暴露在用户的常用中,包括一些高危接口,如 (支付,开发票,订单),这些接口 都是高危接口,且被用户经常使用,在高并发的情况下,io阻塞,不可避免的出现重复提交,或者点击频繁的操作,所以我们就要加入限流,避免用户多次点击,减少我们接口的压力,把整数据不会重复,接口压力减小 为什么要做分布式 在我们做项目负载均衡的时候, 分布式,微服务架构的时候
web服务器如何限流-nginx,tomcat服务器如何限制流量
01-08
本文将深入探讨如何在Nginx和Tomcat这两个常见的Web服务器上实现限流。 首先,我们关注Nginx。Nginx以其高效的反向代理和负载均衡能力而闻名,同时也提供了内置的限流模块。通过修改`nginx.conf`配置文件,我们可以...
深入探索Java Web应用中的服务限流实现
11-19
服务限流是Java Web应用在处理高并发时的关键技术,它通过控制请求的速率来防止系统的过载。在高并发环境下,随着用户数量和访问频率的增长,系统的负载会大大增加,如果没有限流措施,系统就可能因为资源耗尽而崩溃...
详解Springboot分布式限流实践
08-25
Springboot分布式限流实践详解 Springboot分布式限流实践是当前互联网蓬勃发展时期,高并发访问时常见的一种解决方案。当用户暴涨导致的请求不可用,甚至引发连锁反映导致整个系统崩溃时,限流就成了系统的利剑。...
Web安全】逻辑漏洞之URL跳转漏洞:原理、场景与防御
聚焦实战技术的 “白话解读” 和入门级操作指南。
07-25 1046
Web安全的逻辑漏洞里,URL跳转漏洞可能不像支付漏洞那样直接关联金钱,但它却像一个“恶意导航员”,能悄无声息地把用户引向钓鱼网站、病毒页面,进而导致账号被盗、信息泄露等问题。简单说,当你点击一个“安全链接”,本应跳转到官方网站,结果却跳到了骗子仿造的假网站——这背后可能就是URL跳转漏洞在搞鬼。它的危害不在于复杂的技术,而在于利用用户对“正规网站”的信任,完成钓鱼、诈骗等攻击。URL跳转漏洞的本质,是服务器对“跳转地址”的校验太松懈,让攻击者有机可乘。
常见的万能密码
KP_0x01的博客
07-19 3205
' or 1=1--" or 1=1--' or 1=1#" or 1=1#' or 1=1/*" or 1=1/*--" or 1=1--' or 1=1#" or 1=1#' or 1=1/*" or 1=1/*
深入解析三大Web安全威胁:文件上传漏洞、SQL注入漏洞与WebShell
haishiqiguai的博客
07-26 722
文件上传漏洞、SQL注入漏洞与WebShell形成闭环攻击链——前两者是WebShell的主要植入途径,而WebShell会进一步利用前两者扩大攻击面,防御关键在于切断三者的关联路径
代码审计与web安全选择题1
m0_74726609的博客
07-25 941
持续关注网安发展动向;• 软件安全的定义:根据国家标准GB/T 30998—2014《信息技术 软件安全保障规范》,软件安全(Software Safety)是软件工程与软件保障的一个方面,它提供一种系统的方法来标识、分析和追踪对危害以及具有危害性的功能(例如数据和命令)的软件缓解措施与控制。软件的( )通常指的是计算机程序或硬件系统中存在的任何类型的错误、故障或缺陷,这些错误可能会导致意外的结果或异常的系统行为,更多的是影响软件的功能性,比如包括编程错误、硬件故障、逻辑错误等。
WEB安全--Java安全--Fastjson反序列化原理初探
m0_74800552的博客
07-26 657
这里的fastjson包版本为1.2.24,通过pom的方式即可导入可以看到在运行主类后,发现字符串被处理为json对象打印出来了当然也可以提取出json对象中的具体值。
车辆网络安全规定之R155与ISO/SAE 21434
最新发布
通信行业老兵、物联网从业者,做一个有趣的普通人。
07-27 550
随着智能网联汽车的发展,车辆网络安全成为关键问题。R155(UNECER155)作为首个强制性法规,要求车企建立全生命周期的网络安全管理系统(CSMS),包括定期审核、威胁识别和应急响应机制。ISO/SAE21434则提供技术指导,强调从设计源头保障安全,要求进行威胁分析、安全开发及持续监控。两者互补:R155侧重法规合规,ISO/SAE21434聚焦技术实现,共同构建智能汽车的网络安全框架,推动行业安全发展。未来相关标准将持续完善,为车联网技术保驾护航。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

闲猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值