我正在使用Spring 3 + Spring MVC开发一个简单的REST API。使用Spring Security通过OAuth 2.0或基本身份验证与客户端令牌进行身份验证。这仍然存在争议。将强制所有连接通过SSL连接。
我一直在寻找有关如何实施速率限制的信息,但似乎并没有很多信息。实现需要分发,因为它适用于多个Web服务器。
例如,如果有三个api服务器A,B,C和客户端每秒限制为5个请求,那么发出6个请求的客户端就会发现C请求被拒绝并出错。
A recieves 3 requests \
B receives 2 requests | Executed in order, all requests from one client.
C receives 1 request /
它需要基于请求中包含的令牌工作,因为一个客户端可能代表许多用户发出请求,并且每个用户应该是速率限制而不是服务器IP地址。
设置将是HAProxy负载均衡器后面的多个(2-5)Web服务器。有一个Cassandra支持,并使用memcached。 Web服务器将在Jetty上运行。
一个可能的解决方案可能是编写一个自定义Spring Security过滤器,该过滤器提取令牌并检查在过去X秒内使用它进行了多少次请求。这将允许我们为不同的客户做一些不同的速率限制。
有关如何做到的任何建议?有现成的解决方案还是我必须编写自己的解决方案?我以前没有做过很多网站基础设施。
答案 0 :(得分:1)
它需要基于请求中包含的令牌来工作,因为一个客户端可能代表许多用户发出请求,并且应限制每个用户的速率,而不是服务器IP地址。
该设置将在HAProxy负载均衡器之后的多(2-5)个Web服务器。有一个Cassandra支持,并使用了memcached。 Web服务器将在Jetty上运行。
我认为该项目是请求/响应http(s)协议。然后您将HAProxy用作前端。
也许HAProxy可以使用token进行负载平衡,您可以从here中进行检查。
然后,相同的token请求将到达同一台Web服务器,并且该Web服务器可以仅使用内存缓存来实现速率限制器。
答案 1 :(得分:0)
如果可能的话,我会避免修改应用程序级代码以满足此要求。
我查看了HAProxy LB文档中没有太明显的内容,但该要求可能需要对ACL进行全面调查。
将HAProxy放在一边,可能的架构是将Apache WebServer放在前面并使用Apache插件来进行速率限制。超出限制的请求在前面被拒绝,然后Apache之后的层中的应用程序服务器与速率限制问题分开,使它们变得更简单。您还可以考虑从Web服务器提供静态内容。
查看此问题的答案How can I implement rate limiting with Apache? (requests per second)
我希望这会有所帮助。 罗布
答案 2 :(得分:0)
你可以将流量限制放在流量的不同点(通常越高越好),你所采用的一般方法很有意义。实现的一个选项是使用3scale来执行它(http://www.3scale.net) - 它会对速率限制,分析,密钥管理等进行操作,并且可以使用代码插件(Java插件在这里:https://github.com/3scale/3scale_ws_api_for_java推动或通过将类似Varnish(http://www.varnish-cache.org)的东西推入管道并具有适用速率限制。
答案 3 :(得分:0)
我几天前也在考虑类似的解决方案。基本上,我更喜欢“中央控制”解决方案,以在分布式环境中保存客户端请求的状态。
在我的应用程序中,我使用“session_id”来标识请求客户端。然后创建一个servlet过滤器或Spring HandlerInterceptorAdapter来过滤请求,然后使用中央控制的数据存储库检查“session_id”,该存储库可以是memcached,redis,cassandra或zookeeper。
答案 4 :(得分:0)
我们使用redis作为漏桶后端
添加控制器作为入口
google将该令牌缓存为过期时间的密钥
然后过滤每个请求
答案 5 :(得分:-1)
最好使用REDIS实现ratelimit。有关详细信息,请查看此Rate limiting js Example.