如何在 Asp.Net Core 中对请求进行限流

DotNetCore实战

共 3522字,需浏览 8分钟

 ·

2020-12-09 00:39


译文链接:https://www.infoworld.com/article/3442946/how-to-implement-rate-limiting-in-aspnet-core.html

在应用程序开发时,或许你有这样的想法,控制用户的请求频率来防止一些用户的恶意攻击,具体的说就是:为了预防有名的 拒绝服务 攻击,限制某一个ip在一段时间内的访问次数,要解决这个问题,就要用到限流机制。

限流能够很好的控制住一个客户端访问服务器资源地址的请求次数,在 asp.net core 之前,要实现限流机制,你可能要自定义 module 或者 handler,太繁琐了,不过很开心的是,在 asp.net core 里,可以很轻松的实现限流功能,这得益于 asp.net core 特有的 pipeline 机制,接下来,我们一起研究一下如何在 asp.net core 中实现限流机制。

安装 限流中间件

为了能够实现限流功能,可以使用第三方提供的限流中间件,利用这个中间件给多个场景进行限流,比如:允许某一个 ip 或者 ip段 在指定的时间周期内访问某一个资源的次数,这个周期可以是:每秒,每分钟,每 n 分钟,等等。

在 Visual Studio 中创建好 ASP.NET Core API 之后,下一步就是安装 限流包 AspNetCoreRateLimit,你可以在 NuGet Package Manager 可视化工具上安装,也可以在 .NET CLI 命令行中安装,语句如下:


dotnet add package AspNetCoreRateLimit

如果想了解限流包 AspNetCoreRateLimit  的更多知识,参考 github:https://github.com/stefanprodan/AspNetCoreRateLimit

配置 AspNetCoreRateLimit

现在 AspNetCoreRateLimit 已经引用到我们项目中了,接下来在 ConfigureServices 方法中追加如下代码,最终将请求追加到 request-response pipeline 管道中。


    public class Startup
    {
        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc().SetCompatibilityVersion
                        (CompatibilityVersion.Version_2_2);
            services.AddOptions();
            services.AddMemoryCache();
            services.Configure
            (Configuration.GetSection("IpRateLimit"));
            services.AddSingleton            MemoryCacheIpPolicyStore>();
            services.AddSingleton            MemoryCacheRateLimitCounterStore>();
            services.AddSingleton            RateLimitConfiguration>();
            services.AddHttpContextAccessor();
        }
    }

上面代码 Configuration.GetSection("IpRateLimit") 需要注意一下, 节点 IpRateLimit 的具体限流信息是配在 appsettings.json 中的。

接下来在 Configure 方法中使用限流中间件。


    public class Startup
    {
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }

            app.UseRouting();

            app.UseIpRateLimiting();

            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }
    }

最后再来看一下 appsettings.json 文件,着重看一下 限流规则 是怎么配置的,可以看出一个限流规则是由 端点 + 周期 + 次数 3个元素组成的,完整的 appsettings.json 配置如下:


{
  "Logging": {
    "LogLevel": {
      "Default""Information",
      "Microsoft""Warning",
      "Microsoft.Hosting.Lifetime""Information"
    }
  },
  "AllowedHosts""*",
  "IpRateLimit": {
    "EnableEndpointRateLimiting"true,
    "StackBlockedRequests"false,
    "RealIPHeader""X-Real-IP",
    "ClientIdHeader""X-ClientId",
    "HttpStatusCode"429,
    "GeneralRules": [
      {
        "Endpoint""*/weatherforecast",
        "Period""1m",
        "Limit"5
      }
    ]
  }
}


上面的限流规则可以确保:含有 "/api" 的 url 链接在任何分钟周期内最多有5次访问。

测试 AspNetCoreRateLimit

下面就可以按下 Ctrl + F5 把应用程序跑起来,默认情况下请求会访问 ValueController 的 Get 方法,然后刷新页面5次,会看到页面出现如下信息。

因为是演示目的,所以这里我配置成了5次,实际开发中,大家可以根据项目的具体情况来设置这个限流阈值,当然更灵活的做法就是将 限流次数 保存在 数据库 或者缓存中,这样可以在程序运行过程中动态的修改这个阈值,太强大了。


往期精彩回顾




【推荐】.NET Core开发实战视频课程 ★★★

.NET Core实战项目之CMS 第一章 入门篇-开篇及总体规划

【.NET Core微服务实战-统一身份认证】开篇及目录索引

Redis基本使用及百亿数据量中的使用技巧分享(附视频地址及观看指南)

.NET Core中的一个接口多种实现的依赖注入与动态选择看这篇就够了

10个小技巧助您写出高性能的ASP.NET Core代码

用abp vNext快速开发Quartz.NET定时任务管理界面

在ASP.NET Core中创建基于Quartz.NET托管服务轻松实现作业调度

现身说法:实际业务出发分析百亿数据量下的多表查询优化

关于C#异步编程你应该了解的几点建议

C#异步编程看这篇就够了


浏览 28
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报