代码心得:

一个基本的做法:对于用户身份认证做到拦截器里,针对HandlerMethod进行统一拦截认证,根据方法上的注解标识,判别是否需要身份验证,并将查找出来的User实体存入ThreadLocal,在本次请求中,以后的目标方法都可以从ThreadLocal里取出user,并在afterCompletion方法里,对ThreadLocal做清理,也可以通过HandlerMethodArgumentResolver针对某一种参数类型(UserParameter.class)编写统一的用户认证,当然,也可以先拦截,然后在ArgumentResolver里通过ThreadLocal获取user注入到controller方法里的参数

tip:一个请求(即一个thread),通过拦截器将DB中的对象存入ThreadLocal,之后目标方法,或本次请求中的其他后续方法,都可以通过ThreadLocal获取该对象,然后在afterCompletion清理ThreadLocal,表示一个请求结束。当然,拦截器里可以在redis,如果session失效,可以重定向到登陆。

拦截器主要用来拦截handlerMethod(controller方法),aop用于service层面(也可以用于某些工具类,或者controller)的非业务统一处理,前置后置处理器用于全部bean的初始化前或初始化后的统一代码织入

基于注解的接口限流+统一session认证代码实现:

第一步:编写AccessLimit注解

@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.METHOD)

public @interface AccessLimit {//控制单位时间内的最大访问次数

    int maxCount();//注解特点:标记属性即调用方法

    int seconds();

    boolean needLogin() default true;//是否需要用户身份

}

第二步:编写拦截器

@Component

public class AccessInterceptor  extends HandlerInterceptorAdapter{

    @Autowired

    MiaoshaUserService userService;

    @Autowired

    RedisService redisService;

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

            throws Exception {

        if(handler instanceof HandlerMethod) {

            MiaoshaUser user = getUser(request, response);

            UserContext.setUser(user);// 请求(一个thread)->拦截器->AOP->目标方法->清理user

            HandlerMethod hm = (HandlerMethod)handler;//对controller里的方法做了封装,避免运行时使用反射

            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);

            if(accessLimit == null) {

                return true;

            }

            int seconds = accessLimit.seconds();

            int maxCount = accessLimit.maxCount();

            boolean needLogin = accessLimit.needLogin();

            String key = request.getRequestURI();

            if(needLogin) {

                if(user == null) {

                    render(response, CodeMsg.SESSION_ERROR);//可以重定向到登陆或向浏览器输出json

                    return false;//返回false拦截,返回true放行

                }

                key += "_" + user.getId();//  接口防刷:需要用户登陆的 接口路径+用户id做key  不要的:接口路径做key

            }else {

                //do nothing

            }
        //redis限速器

            AccessKey ak = AccessKey.withExpire(seconds);

            Integer count = redisService.get(ak, key, Integer.class);

            if(count  == null) {

                 redisService.set(ak, key, 1);

            }else if(count < maxCount) {

                 redisService.incr(ak, key);

            }else {

                render(response, CodeMsg.ACCESS_LIMIT_REACHED);//访问 达到 限制

                return false;

            }

        }

        return true;

    }

    //向浏览器写出json

    private void render(HttpServletResponse response, CodeMsg cm)throws Exception {

        response.setContentType("application/json;charset=UTF-8");

        OutputStream out = response.getOutputStream();

        String str  = JSON.toJSONString(Result.error(cm));

        out.write(str.getBytes("UTF-8"));// out.write(byte[])

        out.flush();

        out.close();

    }

    //从请求中获取用户信息

    private MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response) {
  //从request或cookie中获取token,防止不支持cookie的client

        String paramToken = request.getParameter(MiaoshaUserService.COOKI_NAME_TOKEN);

        String cookieToken = getCookieValue(request, MiaoshaUserService.COOKI_NAME_TOKEN);

        if(StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {

            return null;

        }

        String token = StringUtils.isEmpty(paramToken)?cookieToken:paramToken;

        return userService.getByToken(response, token);// service里也是返回null,最上级在根据null处理异常

    }

    private String getCookieValue(HttpServletRequest request, String cookiName) {

        Cookie[]  cookies = request.getCookies();

        if(cookies == null || cookies.length <= 0){

            return null;

        }

        for(Cookie cookie : cookies) {

            if(cookie.getName().equals(cookiName)) {

                return cookie.getValue();

            }

        }

        return null;

    }

将编写好的拦截器加入webConfig(即继承webConfigAdapter)中,即可

使用:
@AccessLimit(seconds=5, maxCount=5, needLogin=true)
@RequestMapping(value="/path", method=RequestMethod.GET)
@ResponseBody
public Result<String> getMiaoshaPath(HttpServletRequest request, MiaoshaUser user){...}

基于注解的接口限流+统一session认证的更多相关文章

  1. 服务限流 -- 自定义注解基于RateLimiter实现接口限流

    1. 令牌桶限流算法 令牌桶会以一个恒定的速率向固定容量大小桶中放入令牌,当有浏览来时取走一个或者多个令牌,当发生高并发情况下拿到令牌的执行业务逻辑,没有获取到令牌的就会丢弃获取服务降级处理,提示一个 ...

  2. 【高并发】亿级流量场景下如何为HTTP接口限流?看完我懂了!!

    写在前面 在互联网应用中,高并发系统会面临一个重大的挑战,那就是大量流高并发访问,比如:天猫的双十一.京东618.秒杀.抢购促销等,这些都是典型的大流量高并发场景.关于秒杀,小伙伴们可以参见我的另一篇 ...

  3. 微服务架构 | 5.2 基于 Sentinel 的服务限流及熔断

    目录 前言 1. Sentinel 基础知识 1.1 Sentinel 的特性 1.2 Sentinel 的组成 1.3 Sentinel 控制台上的 9 个功能 1.4 Sentinel 工作原理 ...

  4. SpringCloud(8)---zuul权限校验、接口限流

    zuul权限校验.接口限流 一.权限校验搭建 正常项目开发时,权限校验可以考虑JWT和springSecurity结合进行权限校验,这个后期会总结,这里做个基于ZuulFilter过滤器进行一个简单的 ...

  5. Guava-RateLimiter实现令牌桶控制接口限流方案

    一.前言 对于一个应用系统来说,我们有时会遇到极限并发的情况,即有一个TPS/QPS阀值,如果超了阀值可能会导致服务器崩溃宕机,因此我们最好进行过载保护,防止大量请求涌入击垮系统.对服务接口进行限流可 ...

  6. 基于.net的分布式系统限流组件 C# DataGridView绑定List对象时,利用BindingList来实现增删查改 .net中ThreadPool与Task的认识总结 C# 排序技术研究与对比 基于.net的通用内存缓存模型组件 Scala学习笔记:重要语法特性

    基于.net的分布式系统限流组件   在互联网应用中,流量洪峰是常有的事情.在应对流量洪峰时,通用的处理模式一般有排队.限流,这样可以非常直接有效的保护系统,防止系统被打爆.另外,通过限流技术手段,可 ...

  7. Spring Cloud(7):Zuul自定义过滤器和接口限流

    上文讲到了Zuul的基本使用: https://www.cnblogs.com/xuyiqing/p/10884860.html 自定义Zuul过滤器: package org.dreamtech.a ...

  8. 一个轻量级的基于RateLimiter的分布式限流实现

    上篇文章(限流算法与Guava RateLimiter解析)对常用的限流算法及Google Guava基于令牌桶算法的实现RateLimiter进行了介绍.RateLimiter通过线程锁控制同步,只 ...

  9. 基于kubernetes的分布式限流

    做为一个数据上报系统,随着接入量越来越大,由于 API 接口无法控制调用方的行为,因此当遇到瞬时请求量激增时,会导致接口占用过多服务器资源,使得其他请求响应速度降低或是超时,更有甚者可能导致服务器宕机 ...

随机推荐

  1. Appium1.6,安装WebDriverAgent(WDA)

    前提说明:Appium1.6通过WebDriverAgent来操作iOS,所以需要在Appium下安装一份WebDriverAgent,并且将程序安装到iOS真机上 (如果是模拟器不需要这步骤)   ...

  2. python--第七天总结

    引言 面向过程:根据业务逻辑从上到下写垒代码 函数式:将某功能代码封装到函数中,日后便无需重复编写,仅调用函数即可 面向对象:对函数进行分类和封装,让开发“更快更好更强...” [面向对象编程(Obj ...

  3. Ubuntu 14.04 LTS 安装Docker(转)

    转自:https://www.cnblogs.com/leolztang/p/5097278.html Docker官方是有很详细的安装文档(https://docs.docker.com/engin ...

  4. HDU5532 Almost Sorted Array(最长上升子序列 or 瞎搞个做差的数组)

    题目链接:点我 题意:给定一个序列,询问是否能删除一个数让它成为非递减或者非递增的序列. 比如说 删除后的序列是1 3 3 5 或者5 3 3 1 或者1 3 5 或者5 3 1 都可以.只要满足删掉 ...

  5. TOJ5398: 签到大富翁(简单模拟) and TOJ 5395: 大于中值的边界元素(数组的应用)

    Python代码!!! 5395 传送门:http://acm.tzc.edu.cn/acmhome/problemdetail.do?&method=showdetail&id=53 ...

  6. Git 分支 - 分支管理

    1 查看每一个分支 git branch 2 查看每一个分支的最后一次提交 git branch -v 3 创建分支 (1)只创建本地分支:git branch <branchname> ...

  7. f5 V11 TMSH命令行操作手册

    1.命令行登录工具:“SshClient.exe” 2.查看当前系统配置: # show running-config # show running-config net interface:网络接口 ...

  8. To be a better me

    2017.4.15 突然成为前端实习生.做了两个周的官网项目,主要是更新官网一些文字图片以及新加一个页面,因为是静态页面,所以熟悉了代码就上手了.幸好没出什么差错. 两周后,实习结束. 2017.7. ...

  9. DataInputStream FileInputStream 区别

    DataInputStream是数据输入流,读取的是java的基本数据类型. FileInputStream是从文件系统中,读取的单位是字节. FileReader 是从文件中,读取的单位是字符

  10. Excel怎么下拉框多选

    打开Exlce, 确定,然后 右击查看代码,把这段代码复制到新建的文件里面 此时Excel会给出提示,选择否,,系统会提示保存,在保存的时候选择启用宏的工作簿然后保存,此时Excel下拉框多选就搞定了 ...