AspNetCoreRateLimit介绍:

AspNetCoreRateLimit是ASP.NET核心速率限制框架,能够对WebApi,Mvc中控制限流,AspNetCoreRateLimit包包含IpRateLimit中间件和ClientRateLimit中间件,每个中间件都可以为不同的场景设置多个限,该框架的作者是stefanprodan,项目nuget地址是https://github.com/stefanprodan/AspNetCoreRateLimit

对客户端IP限流控制。

首先nuget安装 Install-Package AspNetCoreRateLimit ,在Startup中Code以下代码,添加服务和注入,其中的配置是什么;注释都有了。

// This method gets called by the runtime. Use this method to add services to the container.

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

            //添加appsettings.json

            services.AddOptions();

            //需要存储速率和ip规则

            services.AddMemoryCache();

            //加载appsettings.json中的配置项 ,下面三项是加载general,rules

            services.Configure<IpRateLimitOptions>(Configuration.GetSection("IpRateLimiting"));

            services.Configure<IpRateLimitPolicies>(Configuration.GetSection("IpRateLimitPolicies"));

            //注入计时器和规则

            services.AddSingleton<IIpPolicyStore, MemoryCacheIpPolicyStore>();

            services.AddSingleton<IRateLimitCounterStore, MemoryCacheRateLimitCounterStore>();

            //添加框架服务

            services.AddMvc();

        }

在Configure中配置RateLimit的启动

// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

        public void Configure(IApplicationBuilder app, IHostingEnvironment env,ILoggerFactory loggerFactory)

        {

            loggerFactory.AddConsole(Configuration.GetSection("Logging"));

            loggerFactory.AddDebug();

            app.UseIpRateLimiting();

            if (env.IsDevelopment())

                app.UseDeveloperExceptionPage();

            app.UseMvc();

        }

我们还需要再appsettings.json中写入配置和规则:

  "IpRateLimiting": {

    "EnableEndpointRateLimiting": false,

    "StackBlockedRequests": false,

    "RealIpHeader": "X-Real-IP",

    "ClientIdHeader": "X-ClientId",

    "HttpStatusCode": 429,

    "IpWhitelist": [ "127.0.0.1", "::1/10", "192.168.0.0/24" ],

    "EndpointWhitelist": [ "get:/api/license", "*:/api/status" ],

    "ClientWhitelist": [ "dev-id-1", "dev-id-2" ],

    "GeneralRules": [

      {

        "Endpoint": "*",

        "Period": "1s",

        "Limit": 2

      },

      {

        "Endpoint": "*",

        "Period": "15m",

        "Limit": 100

      },

      {

        "Endpoint": "*",

        "Period": "12h",

        "Limit": 1000

      },

      {

        "Endpoint": "*",

        "Period": "7d",

        "Limit": 10000

      }

    ]

  }

如果EnableEndpointRateLimiting设置为false,那么这些限制就全局使用,例如,如果设置每秒5次调用的限制,对任何端口的任何http调用都计入这个限制,反之,如果它是true,那么该限制将应用于{端口}{path}中的每个端点。

如果stackblockedrequest设置为false,则不会将拒绝调用添加到节流阀计数器,如果你要拒绝你必须设置为true;

ClientidHeader用于提取白清单的客户端id,如果客户端id在这个里面,就不会应用速率限制。

覆盖特定IP一般规则:

"IpRateLimitPolicies": {

    "IpRules": [

      {

        "Ip": "84.247.85.224",

        "Rules": [

          {

            "Endpoint": "*",

            "Period": "1s",

            "Limit": 10

          },

          {

            "Endpoint": "*",

            "Period": "15m",

            "Limit": 200

          }

        ]

      },

      {

        "Ip": "192.168.3.22/25",

        "Rules": [

          {

            "Endpoint": "*",

            "Period": "1s",

            "Limit": 5

          },

          {

            "Endpoint": "*",

            "Period": "15m",

            "Limit": 150

          },

          {

            "Endpoint": "*",

            "Period": "12h",

            "Limit": 500

          }

        ]

      }

    ]

  }

IP字段支持IP v4和v6值,我们还需要去定义速率限制规则

规则由端点,期间和限制组成,示例(将所有的端点的速率限制每秒2次呼叫),那么定义如下:

{

 "Endpoint": "*",

 "Period": "1s",

 "Limit": 2

}

如果在同一端点,例如get/values在一秒中你调用了3次,那么第三次将会被阻止;但是如果说你在同一秒内还调用了Put/values那么不会阻止,因为他们不是在同一端点之中。在期间(Period)中,还有单位 s m h 等.

有的时候我们对拦截有一定的自定义需求的时候,我们可以继承IpRateLimitMiddleware,如以下定义:

public class CustomizationLimitMiddleware : IpRateLimitMiddleware

    {

        private readonly IpRateLimitOptions _options;

        private readonly IIpPolicyStore _ipPolicyStore;

        public CustomizationLimitMiddleware(RequestDelegate next, IOptions<IpRateLimitOptions> options, IRateLimitCounterStore counterStore, IIpPolicyStore policyStore, ILogger<IpRateLimitMiddleware> logger, IIpAddressParser ipParser = null) : base(next, options, counterStore, policyStore, logger, ipParser)

        {

             _options = options.Value;

            _ipPolicyStore = policyStore;

        }

        public override ClientRequestIdentity SetIdentity(HttpContext httpContext)

        {

            var clientId = "anon";

            if (httpContext.Request.Headers.Keys.Contains(_options.ClientIdHeader, StringComparer.CurrentCultureIgnoreCase))

            {

                clientId = httpContext.Request.Headers[_options.ClientIdHeader].First();

            }

            return new ClientRequestIdentity

            {

                Path = httpContext.Request.Path.ToString().ToLowerInvariant(),

                HttpVerb = httpContext.Request.Method.ToLowerInvariant(),

                ClientId = clientId

            };

        }

    }

行为

当客户端进行HTTP调用时,IpRateLimitMiddleware执行以下操作:

  • 从请求体中获取IP,客户端IP,Http信息,和一些URL,如果需要修改自己的提取逻辑,可以覆盖IpRateLimitMiddleware.SetIdentity。
  • 在白名单中搜索IP,客户端ID和URL,如果有匹配则不执行任何操作
  • 在IP规则中搜索匹配项,所有适用的规则按期间分组,对于每个期间使用最严格的规则
  • 在匹配的一般规则中搜索,如果匹配的一般规则具有IP规则中不存在的定义时间段,则也使用此一般规则
  • 对于每个匹配规则,速率限制计数器递增,如果计数器值大于规则限制,则请求被阻止

如果请求被阻止,则客户端会收到如下文本响应:

Status Code: 429

Retry-After: 58

Content: API calls quota exceeded! maximum admitted 2 per 1m.

如果请求没有得到速率限制,那么匹配规则中定义的最长周期用于组成X-Rate-Limit标头,这些标头将在响应中注入:

X-Rate-Limit-Limit: the rate limit period (eg. 1m, 12h, 1d)

X-Rate-Limit-Remaining: number of request remaining

X-Rate-Limit-Reset: UTC date time (ISO 8601) when the limits resets

默认情况下,组织了客户端的调用我们都会记录到日志中,那么我们可以使用Microsoft.Extensions.Logging.ILogger,这个就略过了。

我们有的时候需要添加ip规则或者更新速率,如一下所示:

public class IpRateLimitController : Controller

{

	private readonly IpRateLimitOptions _options;

	private readonly IIpPolicyStore _ipPolicyStore;

	public IpRateLimitController(IOptions<IpRateLimitOptions> optionsAccessor, IIpPolicyStore ipPolicyStore)

	{

		_options = optionsAccessor.Value;

		_ipPolicyStore = ipPolicyStore;

	}

	[HttpGet]

	public IpRateLimitPolicies Get()

	{

		return _ipPolicyStore.Get(_options.IpPolicyPrefix);

	}

	[HttpPost]

	public void Post()

	{

		var pol = _ipPolicyStore.Get(_options.IpPolicyPrefix);

          //add

		pol.IpRules.Add(new IpRateLimitPolicy

		{

			Ip = "8.8.4.4",

			Rules = new List<RateLimitRule>(new RateLimitRule[] {

				new RateLimitRule {

					Endpoint = "*:/api/testupdate",

					Limit = 100,

					Period = "1d" }

			})

		});

          //update

		_ipPolicyStore.Set(_options.IpPolicyPrefix, pol);

	}

}

这样呢,你可以将ip限制的规则放到数据库中再推送到缓存中。

ASP.NET Core WebApi AspNetCoreRateLimit 限流中间件学习的更多相关文章

  1. 【Dnc.Api.Throttle】适用于.Net Core WebApi接口限流框架

    Dnc.Api.Throttle    适用于Dot Net Core的WebApi接口限流框架 使用Dnc.Api.Throttle可以使您轻松实现WebApi接口的限流管理.Dnc.Api.Thr ...

  2. Asp.Net Core 7 preview 4 重磅新特性--限流中间件

    前言 限流是应对流量暴增或某些用户恶意攻击等场景的重要手段之一,然而微软官方从未支持这一重要特性,AspNetCoreRateLimit这一第三方库限流库一般作为首选使用,然而其配置参数过于繁多,对使 ...

  3. Asp.net Core WebApi 使用Swagger做帮助文档,并且自定义Swagger的UI

    WebApi写好之后,在线帮助文档以及能够在线调试的工具是专业化的表现,而Swagger毫无疑问是做Docs的最佳工具,自动生成每个Controller的接口说明,自动将参数解析成json,并且能够在 ...

  4. Asp.Net Core WebApi学习笔记(四)-- Middleware

    Asp.Net Core WebApi学习笔记(四)-- Middleware 本文记录了Asp.Net管道模型和Asp.Net Core的Middleware模型的对比,并在上一篇的基础上增加Mid ...

  5. ASP.NET Core WebApi使用Swagger生成api说明文档看这篇就够了

    引言 在使用asp.net core 进行api开发完成后,书写api说明文档对于程序员来说想必是件很痛苦的事情吧,但文档又必须写,而且文档的格式如果没有具体要求的话,最终完成的文档则完全取决于开发者 ...

  6. Asp.Net Core WebApi中接入Swagger组件(初级)

    开发WebApi时通常需要为调用我们Api的客户端提供说明文档.Swagger便是为此而存在的,能够提供在线调用.调试的功能和API文档界面. 环境介绍:Asp.Net Core WebApi + S ...

  7. Asp.Net Core WebApi (Swagger+EF Core/Code First)

    Swagger简介: Swagger™的目标是为REST APIs 定义一个标准的,与语言无关的接口,使人和计算机在看不到源码或者看不到文档或者不能通过网络流量检测的情况下能发现和理解各种服务的功能. ...

  8. ASP.NET Core WebAPI中的分析工具MiniProfiler

    介绍 作为一个开发人员,你知道如何分析自己开发的Api性能么? 在Visual Studio和Azure中, 我们可以使用Application Insight来监控项目.除此之外我们还可以使用一个免 ...

  9. ASP.NET Core WebApi使用Swagger生成api

    引言 在使用asp.net core 进行api开发完成后,书写api说明文档对于程序员来说想必是件很痛苦的事情吧,但文档又必须写,而且文档的格式如果没有具体要求的话,最终完成的文档则完全取决于开发者 ...

随机推荐

  1. Python科学计算库

    Python科学计算库 一.numpy库和matplotlib库的学习 (1)numpy库介绍:科学计算包,支持N维数组运算.处理大型矩阵.成熟的广播函数库.矢量运算.线性代数.傅里叶变换.随机数生成 ...

  2. Spiring系列__03IOC补充

    这篇文章是对前一篇的一些补充: 1.SpringIOC容器可以管理Bean的声明周期: 通过构造器或工厂方法创建bean的实例: 为bean属性设置值或者引入其他bean: 调用bean的初始化方法, ...

  3. AngularJS多个ng-app只解析第一个的问题

    <div id="1" ng-app="myApp" ng-controller="ctrl"> <table> & ...

  4. 接口测试——postman & jmeter

    新名词: 自动化测试:写代码帮你测试 接口:是一个抽象的概念,一种交互关系. 抓包:拦截请求. 接口测试:就是功能测试,比后者还简单. 需要有测试文档,包括项目.模块.URL.请求方式.参数.参数说明 ...

  5. Pycharm安装+python安装+环境配置

    Pycharm 工具: 1.安装jdk(64位):jdk-8u65-windows-x64.exe 路径:C:\Program Files\Java(默认路径) 2.配置环境 步骤一: 系统变量→新建 ...

  6. ios中getTime()的兼容性问题

    · var getTime = function(time){ var myDate = new Date(time); var u = navigator.userAgent; var isAndr ...

  7. linux报错-bash: xhost: command not found

    本帖转自倔强小梦https://www.cnblogs.com/xphdbky/p/8243008.html 倔强小梦参考自:http://blog.csdn.net/csdnones/article ...

  8. 使用Ant Design的select组件时placeholder不生效/不起作用的解决办法

    先来说说使用Ant Design和Element-ui的感觉吧. 公司的项目开发中用的是vue+element-ui,使用了一通下来后,觉得element-ui虽然也有一些问题或坑,但这些小问题或坑凭 ...

  9. $.each()和$().each(),以及forEach()的用法

    1.forEach() 是JS遍历数组的方法 var arr=[1,2,3]; arr.forEach(function(val,index,arr){ // var 为数组中当前的值 // inde ...

  10. vue 值的更新

    用了vue开发了一段时间,基本上感觉都是比较好用的一个框架,刚开始还是会存在一些小坑的东西,这里先浅谈下值的更新问题. 1.本组件的一些变量,或者是主view(路由页面)一些值,是通过vuex 中st ...