API限流是一种重要的策略，用于控制对API的访问速率，以保护后端服务免受过载和滥用。以下是API限流的必要性：

1. 防止服务过载：

   当API的请求量突然激增时，如果没有限流措施，可能会导致服务器资源耗尽，从而影响服务的稳定性和可用性。

2. 提高系统稳定性：

   通过限制每个用户的请求频率，可以确保系统在高负载下仍能正常运行，避免因单个用户或服务的过度请求而导致的系统崩溃。

3. 防止恶意攻击：

   限流可以作为一种安全措施，防止恶意用户通过发起大量请求来攻击系统，如DDoS攻击或暴力破解尝试。

在 Spring Boot 中，可以通过多种方式实现接口限流。

以下是几种常用的实现方法：

1. 使用 Bucket4j

Bucket4j 是一个 Java 的限流库，可以很容易地集成到 Spring Boot 项目中。

步骤：

1. 添加 Maven 依赖：

   <!-- https://mvnrepository.com/artifact/com.bucket4j/bucket4j-core -->
   <dependency><groupId>com.bucket4j</groupId><artifactId>bucket4j-core</artifactId><version>8.10.1</version>
   </dependency>
   

2. 创建限流配置：

   import net.jodah.bucket4j.Bucket;
   import net.jodah.bucket4j.BucketBuilder;
   import java.time.Duration;@Service
   public class RateLimiterService {private final Bucket bucket;public RateLimiterService() {this.bucket = Bucket.builder().addLimit(BucketLimit.of(10, Duration.ofMinutes(1))).build();}public boolean tryConsume() {return bucket.tryConsume(1);}
   }
   

3. 在控制器中使用限流：

   @RestController
   public class MyController {private final RateLimiterService rateLimiterService;@Autowiredpublic MyController(RateLimiterService rateLimiterService) {this.rateLimiterService = rateLimiterService;}@GetMapping("/api")public ResponseEntity<String> api() {if (!rateLimiterService.tryConsume()) {return ResponseEntity.status(HttpStatus.TOO_MANY_REQUESTS).body("请求过于频繁，请稍后再试。");}return ResponseEntity.ok("请求成功！");}
   }
   

2. 使用 Spring Cloud Gateway

如果你使用 Spring Cloud Gateway，可以在配置文件中设置限流规则。

示例配置：

spring:cloud:gateway:routes:- id: my_routeuri: lb://my-servicepredicates:- Path=/api/**filters:- requestRateLimiter:rateLimiter:refillPolicy:tokens: 10duration: 1sburstCapacity: 20

3. 使用 AOP 方式

通过 AOP（面向切面编程）也可以实现限流。

步骤：

1. 创建注解：

   @Retention(RetentionPolicy.RUNTIME)
   @Target(ElementType.METHOD)
   public @interface RateLimit {int limit() default 10; // 限制次数int timeout() default 60; // 超时时间
   }
   

2. 使用 AOP 切面：

   @Aspect
   @Component
   public class RateLimitAspect {// 实现限流逻辑@Around("@annotation(rateLimit)")public Object limit(ProceedingJoinPoint joinPoint, RateLimit rateLimit) throws Throwable {// 限流逻辑return joinPoint.proceed();}
   }
   

3. 在需要限流的控制器方法上使用：

   @RestController
   public class MyController {@RateLimit(limit = 10, timeout = 60)@GetMapping("/api")public ResponseEntity<String> api() {return ResponseEntity.ok("请求成功！");}
   }
   

4. 集成第三方库Resilience4j：

• Resilience4j是一个轻量级的容错库，它提供了多种限流器实现，如SemaphoreBasedRateLimiter。
• 添加Resilience4j依赖后，可以配置限流器，并在控制器中使用注解@RateLimiter进行限流。

5.使用分布式锁实现限流：

• 在某些情况下，可以使用分布式锁（如Redisson）来实现限流，尤其是在需要防止用户重复操作的场景中。

结论

以上是常用的几种限流实现方式，可以根据项目需求选择适合的方法。

选择哪种限流方案取决于具体的业务需求和系统架构。对于分布式系统，通常推荐使用Redis或第三方库如Resilience4j来实现限流，以保证限流的准确性和一致性。而对于单机应用，Guava RateLimiter或Spring Boot Actuator的@RateLimiter注解可能是更简单的选择。