NET Core WebApi 介面 IP 限流實踐:防止惡意請求的小妙招

2024.11.29

在開發. NET Core WebApi應用時,我們時常會遇到一些不速之客——惡意請求或頻繁訪問。 這些請求不僅會增加伺服器的負擔,還可能影響到正常使用者的訪問體驗。 為了應對這一問題,我們可以使用IP限流技術,對來自同一IP位址的請求進行限制,從而保護我們的WebApi介面。

一、認識IP限流

IP限流,簡單來說,就是根據用戶端的IP位址,對其發出的請求進行頻率控制。 如果某個IP位址在一段時間內發出的請求超過了設定的閾值,我們就認為它是惡意的,並對其進行限制,比如暫時封禁一段時間。

二、準備工作

在開始實現IP限流之前,我們需要做一些準備工作:

  • 明確限流策略:你需要根據應用的實際情況,設定合理的限流策略。 比如,每個IP每分鐘最多允許訪問100次,超過這個次數就進行限制。
  • 選擇合適的限流演算法:常見的限流演算法有固定視窗計數器、令牌桶演算法、漏桶演算法等。 每種演算法都有其特點和適用場景,你需要根據實際需求進行選擇。
  • 準備存儲介質:為了記錄每個IP的請求次數,你需要一個存儲介質,比如記憶體、資料庫或Redis等。 記憶體速度快,但重啟應用會丟失數據; 資料庫持久化,但性能可能受限; Redis則是一個很好的折中選擇,既快又持久。

三、. NET Core WebApi實現IP限流

接下來,我們就來看看如何在. NET Core WebApi中實現IP限流。

1. 使用中間件進行限流

在.NET Core中,中間件是一個強大的功能,它允許我們在請求處理的管道中插入自定義的代碼。 我們可以編寫一個限流中間件,對每個進入的請求進行IP檢查。

public class IpRateLimitMiddleware
{
    private readonly RequestDelegate _next;
    private readonly IMemoryCache _memoryCache; // 使用内存缓存来存储IP请求次数
    private readonly int _maxRequests; // 最大请求次数
    private readonly TimeSpan _timeWindow; // 时间窗口

    public IpRateLimitMiddleware(RequestDelegate next, IMemoryCache memoryCache, IOptions<IpRateLimitOptions> options)
    {
        _next = next;
        _memoryCache = memoryCache;
        _maxRequests = options.Value.MaxRequests;
        _timeWindow = options.Value.TimeWindow;
    }

    public async Task InvokeAsync(HttpContext context)
    {
        var clientIp = context.Connection.RemoteIpAddress?.ToString();
        if (string.IsNullOrEmpty(clientIp))
        {
            // 如果无法获取客户端IP,则直接放行
            await _next(context);
            return;
        }

        var requestCountKey = $"IpRateLimit:{clientIp}";
        if (!_memoryCache.TryGetValue(requestCountKey, out int requestCount))
        {
            requestCount = 0;
        }

        // 增加请求次数
        requestCount++;

        // 检查是否超过限制
        if (requestCount > _maxRequests)
        {
            // 如果超过限制,则根据策略进行处理,比如返回429 Too Many Requests状态码
            context.Response.StatusCode = StatusCodes.Status429TooManyRequests;
            await context.Response.WriteAsync("Too many requests from this IP address.");
            return;
        }

        // 设置缓存过期时间
        _memoryCache.Set(requestCountKey, requestCount, _timeWindow);

        // 如果没有超过限制,则继续处理请求
        await _next(context);
    }
}

// 还需要定义一个配置类IpRateLimitOptions来存储限流策略
public class IpRateLimitOptions
{
    public int MaxRequests { get; set; }
    public TimeSpan TimeWindow { get; set; }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.

注意:上述代碼是一個簡化的示例,用於說明如何使用中間件進行IP限流。 在實際應用中,你可能需要更複雜的邏輯來處理不同的限流策略、緩存機制以及錯誤處理等。

2. 註冊中間件

在Startup.cs的Configure方法中註冊這個中間件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    // ... 其他中间件配置

    app.UseMiddleware<IpRateLimitMiddleware>();

    // ... 其他中间件配置

    app.UseMvc();
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.

別忘了在Startup.cs的ConfigureServices方法中注入IMemoryCache和IOptions<IpRateLimitOptions>:

public void ConfigureServices(IServiceCollection services)
{
    // ... 其他服务配置

    services.AddMemoryCache();
    services.Configure<IpRateLimitOptions>(Configuration.GetSection("IpRateLimit"));

    // ... 其他服务配置
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.

並在appsettings.json中新增相應的設定:

{
  "IpRateLimit": {
    "MaxRequests": 100,
    "TimeWindow": "00:01:00" // 1分钟时间窗口
  }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

3. 使用第三方庫(如AspNetCoreRateLimit)

當然,如果你覺得從頭開始實現IP限流太過繁瑣,你也可以考慮使用現成的第三方庫,比如AspNetCoreRateLimit。 這個庫提供了更強大、更靈活的限流功能,包括IP限流、用戶端ID限流、API端點限流等。 你可以通過NuGet包管理器安裝它,並按照文檔進行配置和使用。

四、注意事項

  • 性能考虑:在使用内存缓存进行限流时,需要注意性能问题。如果请求量非常大,内存消耗可能会很高。此时,你可以考虑使用Redis等分布式缓存来优化性能。
  • 错误处理:在限流过程中,可能会遇到各种错误,如缓存访问失败、配置读取错误等。你需要做好错误处理,确保在出现问题时能够给出清晰的提示,并采取相应的措施。
  • 日志记录:为了方便调试和监控,建议在限流过程中添加日志记录功能,记录被限流的IP地址、请求时间、限制策略等信息。
  • 策略调整:限流策略不是一成不变的,你需要根据应用的实际情况和用户的反馈,不断调整和优化限流策略。

五、总结

通过上面的介绍,我们了解了如何在.NET Core WebApi中实现IP限流。从认识IP限流到准备工作,再到中间件实现和注意事项,每一步都进行了详细的说明。希望这篇文章能够帮助你更好地理解和实现这一功能,从而保护你的WebApi接口免受恶意请求的侵扰。