上一篇文章介绍过ASP.NET Core 的 Web Api 实现限流 中间件-CSDN博客
使用.NET 7 自带的中间件 Microsoft.AspNetCore.RateLimiting 可以实现简单的Api限流,但是这个.NET 7以后才集成的中间件,如果你使用的是早期版本的.NET,可以使用第三方库AspNetCoreRateLimit实现Api限流。
AspNetCoreRateLimit 是一种 ASP.NET Core 速率限制解决方案,旨在根据 IP 地址或客户端 ID 控制客户端可以向 Web API 或 MVC 应用发出的请求速率。AspNetCoreRateLimit 包包含一个客户端IP限流中间件(IpRateLimitMiddleware)和一个客户端ID限流中间件(ClientRateLimitMiddleware),例如允许 IP 或客户端在时间间隔内(如每秒、15 分钟等)进行最大调用次数。您可以定义这些限制以处理对 API 发出的所有请求,也可以将限制范围限定为每个 API URL 或 HTTP 谓词和路径。
具体实现如下:
1.安装包 AspNetCoreRateLimit :
Install-Package AspNetCoreRateLimit2.appsettings.json文件配置
{"Logging": {"LogLevel": {"Default": "Information","Microsoft": "Warning","Microsoft.Hosting.Lifetime": "Information"}},"AllowedHosts": "*","RateLimiting": {//false,则全局将应用限制,并且仅应用具有作为端点的规则*。例如,如果您设置每秒5次调用的限制,则对任何端点的任何HTTP调用都将计入该限制//true, 则限制将应用于每个端点,如{HTTP_Verb}{PATH}。例如,如果您为*:/api/values客户端设置每秒5个呼叫的限制,"EnableEndpointRateLimiting": false,//false,拒绝的API调用不会添加到调用次数计数器上;如 客户端每秒发出3个请求并且您设置了每秒一个调用的限制,则每分钟或每天计数器等其他限制将仅记录第一个调用,即成功的API调用。如果您希望被拒绝的API调用计入其他时间的显示(分钟,小时等),则必须设置StackBlockedRequests为true。"StackBlockedRequests": false,//Kestrel 服务器背后是一个反向代理,如果你的代理服务器使用不同的页眉然后提取客户端IP X-Real-IP使用此选项来设置"RealIpHeader": "X-Real-IP",//取白名单的客户端ID。如果此标头中存在客户端ID并且与ClientWhitelist中指定的值匹配,则不应用速率限制。"ClientIdHeader": "X-ClientId",//限制状态码"HttpStatusCode": 429,IP白名单:支持Ip v4和v6 //"IpWhitelist": [ "127.0.0.1", "::1/10", "192.168.0.0/24" ],端点白名单:支持各种请求;//"EndpointWhitelist": [ "get:/api/license", "*:/api/status" ],客户端白名单//"ClientWhitelist": [ "dev-id-1", "dev-id-2" ],//通用规则"GeneralRules": [{//端点路径"Endpoint": "*",//时间段,格式:{数字}{单位};可使用单位:s, m, h, d"Period": "1s",//限制"Limit": 1},//15分钟只能调用100次{"Endpoint": "*","Period": "15m","Limit": 100},//12H只能调用1000{"Endpoint": "*","Period": "12h","Limit": 1000},//7天只能调用10000次{"Endpoint": "*","Period": "7d","Limit": 10000}]},"IpRateLimitPolicies": {//ip规则"IpRules": [{//IP"Ip": "127.0.0.1",//规则内容"Rules": [//1s请求10次{"Endpoint": "*","Period": "1s","Limit": 10},//15分钟请求200次{"Endpoint": "*","Period": "15m","Limit": 200}]},{//ip支持设置多个"Ip": "192.168.3.22/25","Rules": [//1秒请求5次{"Endpoint": "*","Period": "1s","Limit": 5},//15分钟请求150次{"Endpoint": "*","Period": "15m","Limit": 150},//12小时请求500次{"Endpoint": "*","Period": "12h","Limit": 500}]}]},"ClientRateLimitPolicies": {"ClientRules": [{"ClientId": "client-id-1","Rules": [{"Endpoint": "*","Period": "1s","Limit": 10},{"Endpoint": "*","Period": "15m","Limit": 200}]},{"ClientId": "client-id-2","Rules": [{"Endpoint": "*","Period": "1s","Limit": 5},{"Endpoint": "*","Period": "15m","Limit": 150},{"Endpoint": "*","Period": "12h","Limit": 500}]}]}
}
3.服务的注入与使用
在 Program.cs 添加注入服务的代码:
public static void Main(string[] args)
{var builder = WebApplication.CreateBuilder(args);builder.Services.AddControllers();// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbucklebuilder.Services.AddEndpointsApiExplorer();builder.Services.AddSwaggerGen();#region 注入限流//需要从appsettings.json加载配置builder.Services.AddOptions();//需要存储速率限制计数器和ip规则builder.Services.AddMemoryCache();//从appsettings.json加载常规配置builder.Services.Configure<IpRateLimitOptions>(builder.Configuration.GetSection("RateLimiting"));//从appsettings.json加载ip规则builder.Services.Configure<IpRateLimitPolicies>(builder.Configuration.GetSection("IpRateLimitPolicies"));//builder.Services.Configure<ClientRateLimitOptions>(builder.Configuration.GetSection("RateLimiting"));//builder.Services.Configure<ClientRateLimitPolicies>(builder.Configuration.GetSection("ClientRateLimitPolicies"));// 注入计数器和规则存储builder.Services.AddInMemoryRateLimiting();//services.AddDistributedRateLimiting<AsyncKeyLockProcessingStrategy>();//services.AddDistributedRateLimiting<RedisProcessingStrategy>();//services.AddRedisRateLimiting();builder.Services.AddSingleton<IRateLimitConfiguration, RateLimitConfiguration>();#endregionvar app = builder.Build();// Configure the HTTP request pipeline.if (app.Environment.IsDevelopment()){app.UseSwagger();app.UseSwaggerUI();}app.UseAuthorization();//启用客户端IP限制速率app.UseIpRateLimiting();//启用客户端ID限制速率//app.UseClientRateLimiting();app.MapControllers();app.Run();
}
4.运行测试
我这里配置的是默认1秒只能请求一次,超出一次返回429
API calls quota exceeded! maximum admitted 1 per 1s.
错误:
5.基于客户端ID速率限制
如果要启用客户端ID速率限制,需要使用 ClientRateLimitMiddleware 中间件 ,Program.cs中使用app.UseClientRateLimiting();来启用客户端ID限制速率,配置加载也要使用ClientRateLimitOptions和ClientRateLimitPolicies:
在 appsettings.json 增加 ClientRateLimitPolicies配置:
