接口限流

​ 接口限流是一种常见的应用程序设计模式,它的目的是为了防止系统超载,保持系统的可用性。在应用程序中,特别是在大规模分布式系统中,限制流量可以有效地控制系统负载,并避免由于高负载而导致的系统崩溃。

​ 限流通常是通过对请求进行计数并根据规则拒绝过多的请求来实现的。一些常见的限流策略包括:固定窗口限流滑动窗口限流令牌桶限流漏桶限流等。这些策略可以根据应用程序的实际需求和性能要求进行调整和组合使用。

​ 在实现接口限流时,需要考虑一些因素,如:最大请求速率、平均请求速率、请求处理时间、负载均衡等。一些常见的限流工具和框架,如Guava RateLimiterRedisNginx等可以帮助实现接口限流。

​ 当我们的应用程序需要处理大量请求时,为了保证系统的稳定性和性能,我们可以使用接口限流技术来控制请求的流量,避免系统过载。以下是一些接口限流的解决方案:

  1. 计数器算法:计数器算法是一种简单的限流算法,它基于一个计数器,每当有一个请求进来时就增加计数器的值。当计数器的值超过了设定的阈值时,就拒绝请求。这种算法的优点是简单易懂,但是不适合处理突发流量。
  2. 漏桶算法:漏桶算法是一种经典的限流算法,它模拟了一个水桶,请求就像水流一样,流进漏桶中,当漏桶已经满了时,就拒绝请求。漏桶算法可以有效地平滑请求的流量,避免系统过载。
  3. 令牌桶算法:令牌桶算法也是一种流量控制算法,它基于一个令牌桶,每当有一个请求进来时就从令牌桶中获取一个令牌,如果令牌桶中没有令牌了,就拒绝请求。令牌桶算法可以平滑处理请求的流量,适用于高峰期的流量控制。
  4. 基于时间窗口的限流:基于时间窗口的限流算法是一种常用的限流算法,它将时间分为多个窗口,每个窗口都有一个固定的限制值。当一个请求进来时,就检查当前时间窗口的请求数是否超过了限制值,如果超过了就拒绝请求。这种算法适用于处理大量请求的场景,可以有效地保护系统。
  5. 基于并发数的限流:基于并发数的限流算法是一种简单的限流算法,它通过监控系统中的并发请求数来控制请求的流量,当并发请求数达到一定阈值时就拒绝请求。这种算法适用于处理大量并发请求的场景,可以有效地保护系统。

​ 这些都是常见的接口限流解决方案,我们可以根据实际业务场景选择合适的算法来保证系统的稳定性和性能。

接口限流实现示例

1.计数器算法

public class Counter {
    private long lastResetTime;
    private int maxRequestsPerSecond;
    private int requestCount;

    public Counter(int maxRequestsPerSecond) {
        this.lastResetTime = System.currentTimeMillis();
        this.maxRequestsPerSecond = maxRequestsPerSecond;
        this.requestCount = 0;
    }

    public synchronized boolean allowRequest() {
        long currentTime = System.currentTimeMillis();

        if (currentTime > lastResetTime + 1000) { // 1 second has passed since last reset
            lastResetTime = currentTime;
            requestCount = 0;
        }

        if (requestCount >= maxRequestsPerSecond) {
            return false; // limit reached
        } else {
            requestCount++;
            return true; // request allowed
        }
    }
}

这个 Counter 类使用了一个 lastResetTime 变量来记录最后一次计数器清零的时间,以及一个 requestCount 变量来记录在这个时间段内已经发出的请求数量。在 allowRequest() 方法中,先判断是否已经过了 1 秒钟,如果是,则将计数器清零;然后再判断当前请求是否超过了每秒最大请求量,如果是,则返回 false,否则将计数器加一,并返回 true。可以根据实际需求来调整每秒最大请求量。

2.漏桶算法

public class LeakyBucket {

    private int maxBucketSize;  //漏桶容量
    private int flowRate;       //水流出速度
    private int currentSize;    //当前桶内水量
    private long lastLeakTime;  //上次漏水时间

    public LeakyBucket(int maxBucketSize, int flowRate) {
        this.maxBucketSize = maxBucketSize;
        this.flowRate = flowRate;
        this.currentSize = 0;
        this.lastLeakTime = System.currentTimeMillis();
    }

    public synchronized boolean allowRequest(int tokens) {
        // 计算桶内水量
        currentSize = Math.max(0, currentSize - (int) (System.currentTimeMillis() - lastLeakTime) / 1000 * flowRate);
        lastLeakTime = System.currentTimeMillis();

        // 如果桶未满,且本次请求能被放入桶中,则放行
        if (currentSize + tokens <= maxBucketSize) {
            currentSize += tokens;
            return true;
        }

        // 否则拒绝请求
        return false;
    }
}

在上面的示例中,我们通过 maxBucketSize 定义了漏桶的容量,flowRate 定义了漏桶的出水速度,也就是漏水的速度。currentSize 记录当前漏桶中的水量,lastLeakTime 记录上次漏水时间。在 allowRequest 方法中,首先计算当前漏桶中的水量,然后判断本次请求是否能被放入漏桶中,如果能,则将请求放入漏桶中,并返回 true,否则返回 false,拒绝请求。

3.令牌桶算法

import java.util.concurrent.atomic.AtomicInteger;

public class TokenBucket {
    // 桶的容量
    private int capacity;
    // 当前桶内令牌数量
    private AtomicInteger tokens = new AtomicInteger(0);
    // 每秒增加的令牌数量
    private int rate;
    // 上一次令牌添加的时间戳
    private long lastAddTime;

    public TokenBucket(int capacity, int rate) {
        this.capacity = capacity;
        this.rate = rate;
        this.lastAddTime = System.currentTimeMillis();
    }

    public boolean acquire(int tokens) {
        // 添加令牌
        addTokens();
        // 判断桶内令牌数量是否足够
        if (this.tokens.get() >= tokens) {
            this.tokens.addAndGet(-tokens);
            return true;
        } else {
            return false;
        }
    }

    private void addTokens() {
        // 计算当前时间和上一次添加令牌的时间之间应该添加的令牌数量
        int addTokens = (int) ((System.currentTimeMillis() - lastAddTime) / 1000.0 * rate);
        // 如果添加的令牌数量不足一个,则不添加
        if (addTokens < 1) {
            return;
        }
        // 添加令牌
        this.tokens.addAndGet(Math.min(addTokens, capacity));
        // 更新上一次添加令牌的时间
        this.lastAddTime = System.currentTimeMillis();
    }
}

以上代码中,TokenBucket 类实现了令牌桶算法,使用了 AtomicInteger 类型的 tokens 属性保存桶内令牌数量。通过 acquire(int tokens) 方法尝试获取指定数量的令牌,如果令牌数量足够,则从桶内移除令牌,并返回 true;否则返回 false。同时,该类的 addTokens() 方法会根据当前时间和上一次添加令牌的时间计算出应该添加的令牌数量,并添加到桶内。

4.基于时间窗口的限流

当我们使用基于时间窗口的限流时,我们可以使用一个固定大小的数组来存储每个时间窗口内的请求数量。我们可以定义一个时间窗口的长度,例如每秒钟或每分钟一个时间窗口,然后根据这个时间窗口内的请求数量来判断是否允许该请求通过。

下面是一个使用基于时间窗口的限流的 Java 代码示例:

public class TimeWindowRateLimiter {
    private final int limit; // 限流阈值
    private final long windowSize; // 时间窗口大小,单位为毫秒
    private final AtomicIntegerArray counters; // 存储每个时间窗口内的请求数量
    private final ScheduledExecutorService scheduler;

    public TimeWindowRateLimiter(int limit, long windowSize) {
        this.limit = limit;
        this.windowSize = windowSize;
        counters = new AtomicIntegerArray((int) (windowSize / 1000)); // 根据时间窗口大小计算数组长度
        scheduler = Executors.newScheduledThreadPool(1);
        scheduler.scheduleAtFixedRate(this::resetCounter, windowSize, windowSize, TimeUnit.MILLISECONDS); // 定期清空计数器
    }

    public boolean allowRequest() {
        long currentTime = System.currentTimeMillis();
        int currentCounterIndex = (int) (currentTime / 1000) % counters.length; // 计算当前时间窗口所在的数组下标
        int currentCount = counters.incrementAndGet(currentCounterIndex); // 计数器加一
        if (currentCount > limit) { // 判断请求数量是否超过限流阈值
            counters.decrementAndGet(currentCounterIndex); // 计数器减一
            return false;
        }
        return true;
    }

    private void resetCounter() {
        for (int i = 0; i < counters.length(); i++) {
            counters.set(i, 0); // 清空计数器
        }
    }
}

​ 在上面的代码中,我们使用 AtomicIntegerArray 数组来存储每个时间窗口内的请求数量。每次有请求进来时,我们先获取当前时间并计算出当前时间所在的时间窗口所在的数组下标。然后将该数组下标对应的计数器加一,判断是否超过限流阈值,如果超过则将计数器减一并拒绝该请求。定期清空计数器以开始新的时间窗口。

​ 基于并发数的限流一般采用信号量(Semaphore)实现,以下是一个简单的 Java 代码示例:

import java.util.concurrent.Semaphore;

public class ConcurrentLimit {
    private Semaphore semaphore;

    public ConcurrentLimit(int limit) { 
        semaphore = new Semaphore(limit);
    }

    public void execute(Runnable task) throws InterruptedException {
        semaphore.acquire(); // 获取信号量
        try {
            task.run();
        } finally {
            semaphore.release(); // 释放信号量
        }
    }
}

​ 在上面的代码中,我们通过 Semaphore 来实现并发数的限制。在构造方法中传入限制的并发数,每次执行任务时先调用 semaphore.acquire() 来获取一个信号量,如果已经达到限制的并发数,就会被阻塞直到有一个信号量被释放。任务执行完后再调用 semaphore.release() 来释放信号量。

​ 你可以在需要进行限流的地方使用 ConcurrentLimit 对象来包装需要执行的任务,以实现并发数限制。

接口防刷各算法运用场景

接口防刷是指限制同一用户在短时间内对接口的访问次数,以保证系统的稳定和安全。下面是几种常见的接口防刷算法及其运用场景:

  1. 计数器算法:适用于对API调用频率的轻量级限制。例如在小型应用中使用,当同一个用户在指定时间内达到一定请求次数时会返回错误信息,可以用于防止恶意刷接口行为。
  2. 漏桶算法:适用于平滑请求流量,对突发流量进行限制。例如在 CDN 服务中可以利用漏桶算法对网络带宽进行限流,防止网络瘫痪。
  3. 令牌桶算法:适用于在短时间内处理请求数量比较少的场景,可以平滑地处理请求流量。例如在Web应用中限制用户的请求数量,可以保护系统不被恶意攻击。
  4. 基于时间窗口的限流:适用于对接口并发访问数的限制。例如在高并发访问场景下,使用时间窗口限制访问频率,避免了瞬时流量过大导致服务不可用的情况。
  5. 基于并发数的限流:适用于对服务能力的控制,避免服务过载。例如在分布式系统中,使用基于并发数的限流算法,可以控制分布式服务间的调用数量,避免服务调用链条过长,导致服务过载。

需要注意的是,不同的算法适用于不同的场景,选择适合自己的算法是非常重要的。同时,防刷算法只是防止恶意访问的一种手段,还需要通过其他安全措施来保证系统的安全性。