SpringBoot 接口防护(防重提交 + 限流)_Java

前言

事情是这样的，前段时间在公司项目里又写了一遍防重复提交的逻辑——redis 加锁、拼 key、设过期时间、处理异常释放锁……写到一半我就烦了，这套东西每个项目都要来一遍，而且每次写法还不太一样，维护起来头大。

限流也是，要么上 sentinel 搞一套，要么自己写个拦截器糊一个，代码散得到处都是。

想了想，干脆自己封一个 starter。搞着搞着就把防重复提交和接口限流都做了，打包发到 maven central 开源了。

项目叫 guardian，一个轻量级的 spring boot api 请求层防护框架，目前 v1.3.0。两个功能完全独立，用哪个引哪个，互不依赖。

项目地址（源码 + 示例 + 文档全在里面）：

github：https://github.com/biggg-guardian/guardian ← 顺手点个 star，不迷路

一、防重复提交

先看效果

三步搞定：

第一步，引依赖：

<dependency>
    <groupid>io.github.biggg-guardian</groupid>
    <artifactid>guardian-repeat-submit-spring-boot-starter</artifactid>
    <version>1.3.0</version>
</dependency>

第二步，加注解：

@postmapping("/submit")
@repeatsubmit(interval = 10, message = "订单正在处理，请勿重复提交")
public result submitorder(@requestbody orderdto order) {
    return orderservice.submit(order);
}

第三步，没了。启动项目就生效了。

10 秒内同一个用户、同一个接口、同样的请求参数，第二次请求会被直接拦截。

为什么不直接用 redis 加个锁？

你肯定想说："这不就是 redis setnx 嘛，我自己写也行。"

确实能写，但你想想实际项目里会遇到的问题：

1. key 怎么拼？

userid + url 够不够？如果同一个用户对同一个接口传了不同的参数呢？比如下单接口，买商品 a 和买商品 b 应该算两次不同的请求，不能拦截。

所以防重 key 要把请求参数也算进去。但 post 请求的 body 是个流，读了一次就没了，你还得处理 httpservletrequestwrapper 的问题。

guardian 内置了 repeatablerequestfilter，自动缓存请求体，key 生成时会把请求参数做 json 序列化 + base64 编码拼进去。

2. 用户没登录怎么办？

很多防重方案直接用 userid 作为 key 的一部分，但用户没登录的时候 userid 是 null，key 就乱了。

guardian 的处理是：已登录用 userid → 没登录用 sessionid → 没 session 用客户端 ip。三级降级，永远不会出现 null。

3. 业务异常了锁不释放怎么办？

比如用户提交订单，业务代码报了个异常，但防重锁已经设了 10 秒。结果用户修正数据重新提交，被告知"请勿重复提交"——这体验就很差了。

guardian 在拦截器的 aftercompletion 里做了处理：如果请求抛了异常，自动释放锁。正常完成的请求才让锁自然过期。

4. 有些接口不需要防重怎么办？

全局配了防重之后，健康检查接口、公开查询接口这些也被拦了。你要么给每个接口单独控制，要么维护一个白名单。

guardian 支持 exclude-urls 白名单，antpath 通配符匹配，优先级最高。命中直接放行，不走任何防重逻辑。

注解不够用？试试 yaml 批量配置

单个接口用注解挺方便，但如果你有 50 个接口都要配防重，一个一个加注解就有点累了。

guardian 支持在 yaml 里批量配置，用 antpath 通配符一口气匹配一批接口：

guardian:
  repeat-submit:
    storage: redis
    key-encrypt: md5
    urls:
      - pattern: /api/order/**
        interval: 10
        key-scope: user
        message: "订单正在处理，请勿重复提交"
      - pattern: /api/sms/send
        interval: 60
        key-scope: ip
    exclude-urls:
      - /api/public/**
      - /api/health

几个要点：

yaml 规则的优先级高于注解，同一个接口两边都配了以 yaml 为准
白名单（exclude-urls）优先级最高，命中直接放行
key-scope 控制防重维度：user（按用户）、ip（按 ip）、global（全局）

比如短信发送接口配 key-scope: ip，同一个 ip 60 秒内只能发一次，不管登没登录、哪个用户——这比按用户维度更合理。

拦截了之后怎么响应？

这是我纠结了挺久的一个设计点。

一开始只做了抛异常的方式——拦截后抛 repeatsubmitexception，让业务端的全局异常处理器去处理。但后来想到，有些项目可能就想开箱即用，不想为了一个防重还得写个异常处理器。

所以做了两种模式：

guardian:
  repeat-submit:
    response-mode: exception  # 默认，抛异常
    # response-mode: json     # 直接返回 json

exception 模式（默认）：抛 repeatsubmitexception，你在全局异常处理器里接一下：

@restcontrolleradvice
public class globalexceptionhandler {
    @exceptionhandler(repeatsubmitexception.class)
    public result handlerepeatsubmit(repeatsubmitexception e) {
        return result.fail(e.getmessage());
    }
}

json 模式：拦截器直接写 json 响应，默认格式是 {"code":500,"msg":"...","timestamp":...}。

格式不满意？注册一个 repeatsubmitresponsehandler bean 就能覆盖：

@bean
public repeatsubmitresponsehandler repeatsubmitresponsehandler() {
    return (request, response, message) -> {
        response.setcontenttype("application/json;charset=utf-8");
        response.getwriter().write(jsonutil.tojsonstr(r.fail(message)));
    };
}

不用 redis 也能跑

不是每个项目都有 redis 的。本地开发环境、小型单体应用，可能就没有 redis。

guardian:
  repeat-submit:
    storage: local  # 用本地缓存

切成 local 就行了，底层用 concurrenthashmap 实现，带定时过期清理。当然生产环境还是推荐 redis，支持分布式。

想看 redis 存储和本地存储的具体实现？源码在 guardian-storage-redis 和 repeatsubmitlocalstorage。

关于 context-path 的坑

这个坑我自己踩过。项目配了 server.servlet.context-path: /admin-api，然后 yaml 里配的 url 规则死活匹配不上。

排查了一下发现，request.getrequesturi() 返回的是带 context-path 的完整路径（比如 /admin-api/order/submit），但 yaml 里配的可能是 /order/submit。

guardian 的处理是：匹配时同时尝试完整 uri 和去掉 context-path 后的路径，两者有一个匹配上就算命中。所以不管你 yaml 里写的是 /order/submit 还是 /admin-api/order/submit，都能正确匹配。

防重的内部流程

简单画一下请求的处理流程：

请求进入
  │
  ▼
repeatablerequestfilter     ← 缓存请求体，支持重复读取
  │
  ▼
repeatsubmitinterceptor
  ├─ 1. 匹配白名单 → 命中直接放行
  ├─ 2. 匹配 yaml 规则
  ├─ 3. 检查 @repeatsubmit 注解
  │      均未命中 → 放行
  ▼
keygenerator                ← 按维度（user/ip/global）生成防重 key
  │
  ▼
keyencrypt                  ← 可选 md5 加密
  │
  ▼
storage.tryacquire()
  ├─ 成功 → 放行，写入存储 + 设置 ttl
  └─ 失败 → 根据 response-mode 响应
      ├─ exception → 抛 repeatsubmitexception
      └─ json → 直接写 json 响应
  │
  ▼
业务执行
  ├─ 正常 → key 自然过期
  └─ 异常 → aftercompletion 自动释放

二、接口限流

为什么要做限流？

防重复提交解决的是"同一个请求短时间内被提交多次"的问题，但还有另一类问题它管不了：恶意刷接口。

比如有人写个脚本一秒钟请求你的搜索接口 1000 次，防重拦不住（因为每次参数可能不一样），这时候就需要限流了。

市面上的限流方案不少，但要么是网关级别的（sentinel、spring cloud gateway），要么得写一堆配置。如果你就是个普通的 spring boot 单体应用，想给几个接口加个限流，没必要引那么重的东西。

guardian 的限流就是冲着这个场景来的：轻量、注解 + yaml 双模式、两种算法可选。

先看效果

<dependency>
    <groupid>io.github.biggg-guardian</groupid>
    <artifactid>guardian-rate-limit-spring-boot-starter</artifactid>
    <version>1.3.0</version>
</dependency>

// 滑动窗口：每秒最多 10 次
@ratelimit(qps = 10)
// 令牌桶：每秒补 5 个令牌，桶容量 20，允许瞬间突发 20 次
@ratelimit(qps = 5, capacity = 20, algorithm = ratelimitalgorithm.token_bucket)

同样支持 yaml 批量配置：

guardian:
  rate-limit:
    urls:
      - pattern: /api/sms/send
        qps: 1
        rate-limit-scope: ip
      - pattern: /api/seckill/**
        qps: 10
        capacity: 50
        algorithm: token_bucket
        rate-limit-scope: global
    exclude-urls:
      - /api/public/**

和防重一样，注解 + yaml 双模式，yaml 优先级高于注解，白名单优先级最高。

滑动窗口 vs 令牌桶

这是限流最常用的两种算法，guardian 都支持。

滑动窗口：统计时间窗口内的请求次数，超了就拒绝。比如配了 qps=10, window=1s，就是每秒最多 10 次，多了直接打回。

@ratelimit(qps = 10)

特点是严格。窗口内绝对不会超过阈值。适合短信发送、登录尝试这种需要精确控制频率的场景。

令牌桶：桶里装令牌，按固定速率往里放，请求来了取一个，桶空了就拒绝。桶满时可以一口气把令牌全用完。

@ratelimit(qps = 5, capacity = 20, algorithm = ratelimitalgorithm.token_bucket)

这个配置的意思是：每秒补 5 个令牌，桶最多攒 20 个。平时空闲的时候令牌慢慢攒，突然来一波流量，瞬间可以放过 20 个请求，打完之后回到每秒 5 个的稳态。

特点是允许突发。适合秒杀、抢购这种"平时没啥流量，偶尔来一波高峰"的场景。

举个直观的例子，都是 qps=10，突然来了 20 个请求：

	滑动窗口	令牌桶（capacity=20）
第 1-10 个	通过	通过
第 11-20 个	全部拒绝	全部通过
之后每秒	最多 10 个	最多 10 个

补充速率怎么控制？

令牌桶的补充速率通过 qps 和 window 两个参数控制：

qps=10, window=1s → 每秒补 10 个
qps=10, window=1min → 每分钟补 10 个（约 6 秒补 1 个）

// 每分钟补 10 个令牌，桶容量 10
@ratelimit(qps = 10, window = 1, windowunit = timeunit.minutes,
        capacity = 10, algorithm = ratelimitalgorithm.token_bucket)

这样就能实现慢速补充的场景。

限流维度

和防重一样，限流也支持三种维度：

维度	效果	典型场景
global（默认）	整个接口共用一个计数器	全站搜索接口
ip	每个 ip 独立计数	短信发送、验证码
user	每个用户独立计数	用户操作频率限制

@ratelimit(qps = 1, ratelimitscope = ratelimitkeyscope.ip, message = "短信发送过于频繁")

限流的响应处理

和防重一样，两种模式：

guardian:
  rate-limit:
    response-mode: exception  # 默认，抛 ratelimitexception
    # response-mode: json     # 直接返回 json

也支持自定义响应处理器，注册一个 ratelimitresponsehandler bean 就行。

三、一些设计细节

并发安全

限流对并发安全的要求比防重高。你想，10 个请求同时进来，限流阈值是 5，如果并发控制没做好，可能 10 个都放过去了。

guardian 的处理：

redis：滑动窗口和令牌桶都用 lua 脚本，redis 单线程执行 lua 是天然原子的
本地缓存：synchronized 锁到 key 粒度，不同 key 之间互不阻塞

防重那边也是一样，redis 用 set nx ex 原子操作，本地缓存用 concurrenthashmap 的原子方法。

本地缓存的内存管理

用 concurrenthashmap 做本地存储有个容易忽略的问题：key 只进不出，长时间运行内存会一直涨。

guardian 在防重和限流的本地存储里都加了守护线程，每 5 分钟扫一次，清理过期的 key。线程是 daemon 的，不会阻止 jvm 关闭。源码可以看 ratelimitlocalstorage。

可插拔架构

两个模块的核心组件都是面向接口编程的，框架内部用 @conditionalonmissingbean 做的，你不注册就用默认的，注册了就用你的：

组件	防重复提交	接口限流
key 生成	repeatsubmitkeygenerator	ratelimitkeygenerator
key 加密	abstractkeyencrypt	abstractkeyencrypt
存储	repeatsubmitstorage	ratelimitstorage
响应处理	repeatsubmitresponsehandler	ratelimitresponsehandler
用户上下文	usercontext（共享）	usercontext（共享）

可观测性

两个模块都内置了监控能力：

拦截日志：log-enabled: true 开启后，拦截/放行都有日志输出。

actuator 端点：

get /actuator/guardianrepeatsubmit    → 防重统计
get /actuator/guardianratelimit       → 限流统计

限流的统计数据长这样：

{
  "totalrequestcount": 5560,
  "totalpasscount": 5432,
  "totalblockcount": 128,
  "blockrate": "2.30%",
  "topblockedapis": { "/api/sms/send": 56 },
  "toprequestapis": { "/api/search": 3200 }
}

项目结构

guardian-parent
├── guardian-core                          # 公共基础（共享类）
├── guardian-repeat-submit/                # 防重复提交
│   ├── guardian-repeat-submit-core/
│   └── guardian-repeat-submit-spring-boot-starter/
├── guardian-rate-limit/                   # 接口限流
│   ├── guardian-rate-limit-core/
│   └── guardian-rate-limit-spring-boot-starter/
├── guardian-storage-redis/                # redis 存储（多模块共享）
└── guardian-example/                      # 示例工程

模块拆分是为了灵活组合。比如你只需要防重就引 guardian-repeat-submit-spring-boot-starter，只需要限流就引 guardian-rate-limit-spring-boot-starter，都需要就两个都引，互不影响。

guardian-core 放的是两个模块都用到的公共类，比如 usercontext、guardianresponsehandler。guardian-storage-redis 是 redis 存储的共享实现，两个模块的 redis 存储都在这里面。

完整的示例代码在 guardian-example 模块里，防重 + 限流的各种场景都有，clone 下来直接跑。

总结

guardian 做了两件事：

防重复提交：拦截短时间内的重复请求，支持注解 / yaml、用户 / ip / 全局维度、异常自动释放、context-path 兼容
接口限流：控制接口访问频率，支持滑动窗口 / 令牌桶、突发流量处理、三种维度

两个功能独立 starter，核心组件全部可插拔，注册 bean 就能替换默认实现。redis 和本地缓存一键切换。

如果你的 spring boot 项目里需要这些能力，但又不想引 sentinel 那么重的东西，可以试试。

maven central 坐标（最新 v1.3.0）：

<!-- 防重复提交 -->
<dependency>
    <groupid>io.github.biggg-guardian</groupid>
    <artifactid>guardian-repeat-submit-spring-boot-starter</artifactid>
    <version>1.3.0</version>
</dependency>
<!-- 接口限流 -->
<dependency>
    <groupid>io.github.biggg-guardian</groupid>
    <artifactid>guardian-rate-limit-spring-boot-starter</artifactid>
    <version>1.3.0</version>
</dependency>

项目地址（readme 里有完整配置文档和更新日志）：

github：https://github.com/biggg-guardian/guardian/tree/master/guardian-storage-redis

到此这篇关于springboot 接口防护(防重提交 + 限流)的文章就介绍到这了,更多相关springboot 接口防护内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网！