简介
在ASP.NET Core中,速率限制中间件是用来控制客户端对Web API或MVC应用程序发出哀求的速率,以防止服务器过载和提高安全性。
下面是 AddRateLimiter 的一些基本用法:
1. 注册服务
在 Startup.cs 或 Program.cs 中,需要注册 AddRateLimiter 服务。这可以通过以下代码完成:- builder.Services.AddRateLimiter(options =>
- {
- // 配置速率限制选项
- });
可以添加不同类型的速率限制策略, 包括固定窗口、滑动窗口、令牌桶和并发限制。
固定窗口限制器(Fixed Window Limiter)
固定窗口限制器使用固定的时间窗口来限制哀求。当时间窗口到期后,会开始一个新的时间窗口,并重置哀求限制。例如,可以设置一个策略,允许每个12秒的时间窗口内最多4个哀求。- builder.Services.AddRateLimiter(options =>
- {
- options.AddFixedWindowLimiter("fixed", opt =>
- {
- opt.Window = TimeSpan.FromMinutes(1); // 时间窗口
- opt.PermitLimit = 3; // 在时间窗口内允许的最大请求数
- opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst; // 请求处理顺序
- opt.QueueLimit = 2; // 队列中允许的最大请求数
- });
- });
- app.UseRateLimiter();
经过测试,多余的哀求还是会等候
https://www.cnblogs.com/guoxiaotian/p/17834892.html
滑动窗口限制器(Sliding Window Limiter)
滑动窗口算法:
- 与固定窗口限制器类似,但为每个窗口添加了段。 窗口在每个段隔断滑动一段。 段隔断的计算方式是:(窗口时间)/(每个窗口的段数)。
- 将窗口的哀求数限制为 permitLimit 个哀求。
- 每个时间窗口划分为一个窗口 n 个段。
- 从倒退一个窗口的逾期时间段(当前段之前的 n 个段)获取的哀求会添加到当前的段。 我们将倒退一个窗口近来逾期时间段称为“逾期的段”。
请思量下表,此中显示了一个滑动窗口限制器,该限制器的窗口为 30 秒、每个窗口有三个段,且哀求数限制为 100 个:
- 第一行和第一列显示时间段。
- 第二行显示剩余的可用哀求数。 其余哀求数的计算方式为可用哀求数减去处理的哀求数和回收的哀求数。
- 每次的哀求数沿着蓝色对角线移动。
- 从时间 30 开始,从逾期时间段获得的哀求会再次添加到哀求数限制中,如赤色线条所示。
下表换了一种格式来显示上图中的数据。 “可用”列显示上一个段中可用的哀求数(来自上一个行中的“结转”)。 第一行显示有 100 个可用哀求,由于没有上一个段。
时间可用获取的哀求数从逾期段回收的哀求数结存哀求数01002008010803005020504001030103020040010302050201040506050353045- services.AddRateLimiter(options =>
- {
- options.AddSlidingWindowLimiter("sliding", opt =>
- {
- opt.Window = TimeSpan.FromMinutes(1); // 总窗口时间为1分钟
- opt.SegmentsPerWindow = 6; // 将1分钟的窗口分为6个段,即每10秒一个段
- opt.PermitLimit = 10; // 整个窗口时间内允许的最大请求数
- });
- });
令牌桶限制器维护一个滚动累积的使用预算,作为一个令牌的余额。它以一定的速率添加令牌,当服务哀求发生时,服务尝试提取一个令牌(淘汰令牌计数)来满足哀求。如果没有令牌,服务就达到了限制,响应被阻塞。- services.AddRateLimiter(configureOptions =>
- {
- configureOptions.AddTokenBucketLimiter("token-bucket", options =>
- {
- options.TokenLimit = 100; // 桶的容量
- options.ReplenishmentPeriod = TimeSpan.FromSeconds(10); // 补充周期,即每10秒补充一次令牌
- options.TokensPerPeriod = 10; // 每个周期补充的令牌数
- options.AutoReplenishment = true; // 是否自动补充令牌
- options.QueueProcessingOrder = QueueProcessingOrder.OldestFirst; // 队列处理顺序
- options.QueueLimit = 10; // 请求队列长度限制
- });
- });
并发限制器是最简单的速率限制情势。它不关注时间,只关注并发哀求的数目。- services.AddRateLimiter(options =>
- {
- options.AddConcurrencyLimiter("concurrency", options =>
- {
- options.PermitLimit = 1; // 最大并发请求数
- options.QueueProcessingOrder = QueueProcessingOrder.OldestFirst; // 队列处理顺序
- options.QueueLimit = 10; // 请求队列长度限制
- });
- });
在 Configure 方法或 Program.cs 中,需要使用 UseRateLimiter 中间件:4. 应用速率限制策略
可以全局应用速率限制策略,大概将其应用于特定的控制器或动作:
全局配置
- app.MapControllers().RequireRateLimiting("fixed");
- [EnableRateLimiting("fixed")]
- public class RateLimitTestController : ControllerBase
- {
- // 控制器动作
- }
- [EnableRateLimiting("fixed")]
- public async Task<IActionResult> Get()
- {
- // 动作逻辑
- }
也可以选择禁用速率限制,无论是在控制器级别还是特定动作级别:
禁用控制器级别的速率限制
- [DisableRateLimiting]
- public class RateLimitTestController : ControllerBase
- {
- // 控制器动作
- }
- [DisableRateLimiting]
- public async Task<IActionResult> Get()
- {
- // 动作逻辑
- }
当客户端超出速率限制时,可以自定义响应。例如,可以设置OnRejected回调来自定义响应:- options.OnRejected = (context, token) =>
- {
- context.HttpContext.Response.StatusCode = StatusCodes.Status429TooManyRequests;
- context.HttpContext.Response.Headers["Retry-After"] = "60"; // 建议60秒后重试
- context.HttpContext.Response.StatusCode = StatusCodes.Status429TooManyRequests;
- context.HttpContext.Response.WriteAsync("Too many requests. Please try again later.", cancellationToken: token);
-
- return Task.CompletedTask;
- };
总结
在ASP.NET Core应用程序中实现有效的速率限制策略,以保护的API免受滥用和过载。欢迎关注我的公众号:Net分享
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
