多次限制获得公共服务

Question

我有这种情况。想象一下那里有公共休息服务。我们不希望有人能够在短时间内多次访问该服务，因为他们将能够阻止我们的数据库(我想，基本上是DDOS攻击)。

是否有办法有效地防止这类攻击？我们使用的技术是Spring/Spring安全性。

Answer 1

如果您正在使用Spring，那么有一个相当新的开放源码项目来处理这个问题：

https://github.com/weddini/spring-boot-throttling

控制Spring服务的声明式方法。@Throttling注释帮助您限制每个java.util.concurrent.TimeUnit对特定用户的服务方法调用数、IP地址、header/cookie值或使用Spring (SpEL)。

显然，这不会防止在web服务器级别上的DDOS攻击，但它将有助于限制对长时间运行的查询的访问或实现公平的使用策略。

Answer 2

对于那些对这个问题感兴趣的人来说，弹簧开机节流似乎不再被维护。

所以，我来看看bucket4j

使用非常简单:有三个主要对象：

• Bucket：允许定义可用令牌的总容量的接口。它还提供了使用令牌的方法。
• 带宽：允许定义桶的限制的类。
• 填充：类允许使用新的令牌定义存储桶的方式。

简单的Spring控制器示例：

@RestController
public class TestLimit {
    
    private Bucket bucket = null;
    
    public MsGeneratorController() {
        Bandwidth limit = Bandwidth.classic(120, Refill.greedy(120, Duration.ofMinutes(1)));
        this.bucket = Bucket4j.builder().addLimit(limit).build();
    }

    @RequestMapping(path = "/test-limit/", method = RequestMethod.GET)
    public ResponseEntity<String> download() throws IOException {

        if (this.bucket.tryConsume(1)) {
            return ResponseEntity.status(HttpStatus.OK).build();
        }else {
            return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).build();
        }
    }
}

在这种情况下，我们有每分钟120个请求的限制，桶容量为120，每分钟填充120令牌。

如果我们超过了这个限制，我们将收到一个HTTP429代码(TOO_MANY_REQUESTS)。