secKill项目 --- @AccessLimit用法的问题

最新推荐文章于 2024-12-13 08:45:00 发布
原创 最新推荐文章于 2024-12-13 08:45:00 发布 · 1.9k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java
本文探讨了在Spring MVC项目中使用@AccessLimit注解进行限流时遇到的问题。当Controller参数包含MiaoshaUser对象时,原始数据可能会丢失。解决方案包括自定义VO对象以避免限流注解的影响,或者创建新的注解以区分限流处理。通过调整,可以将用户逻辑移到参数解析器,保持拦截器仅处理限流功能,简化代码并提高可读性。文章最后作者分享了对VO对象意义的理解。

先附上原本的代码:

项目中,用了拦截器,用于简化限流判断

@Service
public class AccessInterceptor extends HandlerInterceptorAdapter{
	@Autowired
	MiaoshaUserService miaoshaUserService;
	@Autowired
	RedisService redisService;
	
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		if(handler instanceof HandlerMethod) {
			//先去取得用户做判断
			MiaoshaUser user=getUser(request,response);		
			//将user保存下来
			UserContext.setUser(user);
			HandlerMethod hm=(HandlerMethod)handler;
			AccessLimit aclimit=hm.getMethodAnnotation(AccessLimit.class);
			//无该注解的时候,那么就不进行拦截操作
			if(aclimit==null) {
				return true;
			}
			//获取参数
			int seconds=aclimit.seconds();
			int maxCount=aclimit.maxCount();
			boolean needLogin=aclimit.needLogin();
			String key=request.getRequestURI();
			System.out.println("------------:"+key);
			if(needLogin) {
				if(user==null) {
					//需要给客户端一个提示
					render(response,CodeMsg.SESSION_ERROR);
					return false;
				}
				//需要的登录
				key+="_"+user.getId();
			}else {//不需要登录
				//不需要操作
			}
            ...  //限制访问次数

		}
		return super.preHandle(request, response, handler);
	}
    
    // 从request中获取 token,根据token去Redis取User
    private MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response) {

		String paramToken = request.getParameter(MiaoshaUserService.COOKI_NAME_TOKEN);
		String cookieToken = getCookieValue(request, MiaoshaUserService.COOKI_NAME_TOKEN);
		if(StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
			return null;
		}
		String token = StringUtils.isEmpty(paramToken)?cookieToken:paramToken;
		return userService.getByToken(response, token);
	}
}

经过拦截器处理,通过ThreadLocal传参到 UserArgumentResolver

@Service
public class UserArgumentResolver implements HandlerMethodArgumentResolver {

    ... // 省略代码
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {

        MiaoshaUser user = UserContext.getUser();
        return user;
    }

}

但其实这里是有问题的。

当Controller的传参有MiaoshaUser时,看看下面这两种情况会怎么样:

  1. 用了@accessLimit , 但 needLogin=false
  2. 没用 @accessLimit

代码逻辑:

  1. 首先,needLogin=false ,那无论是redis还是request中,都是没有token的,那自然getUser()返回的MiaoshaUser 必然为null。那参数处理器(UserArgumentResolver)中,获得的MiaoshaUser 那当然也是null了。

    那么问题来了:原本传参的MiaoshaUser 数据被覆盖,丢失了。

    因为needLogin = false ,可是传了 MiaoshaUser ,这传的数据自然不可能是null。

  2. 而没用注解的情况也是类似的:

    • token,那就返回缓存里面的MiaoshaUser 对象
    • 没有token,那就返回null

    但无论是那种,传参的MiaoshaUser原本的数据,都丢失了

解决办法:

  1. 真要传相关数据的,自定义一个xxxVO,这样就不会受限制。MiaoshaUser就照常,根据token获取。而这也是项目的使用方法,但这种情况下,@AccessLimit中的needLogin属性就没有必要存在了,不是说 default true 的问题。而是这种用法中,就不存在needLogin = false的情况,因此这属性是多余的。

  2. 不自定义额外的xxxVO,则需再自定义一个注解@realData ,作用到参数上,

    即: controllerMethod(@realData MiaoshaUser miaoshaUser) ,然后在参数解析器中,

     public boolean supportsParameter(MethodParameter parameter) {
        Class<?> clazz = parameter.getParameterType();
        return clazz == MiaoshaUser.class
            //加上参数判断,没有@realData注解的,才进行解析
            && !parameter.hasParameterAnnotation(realData.class);
    }

    (ps:其实更简单的,可以根据传的MiaoshaUser 是否为null,来判断是否处理。
    理论上是可以根据request获取相关的JSON对象判断的,但笔者找了相关资料,实验过,都没有达到目标。
    若有人知道如何处理,麻烦留言告知一下,谢谢。)

笔者是比较推荐用第一个种自定义xxxVO的方法的。因为更容易理解,注解的话,很容易忘记使用。

附上这种方式实现后的代码,主要是把User的逻辑转移到参数解析器UserArgumentResolver中。因为此时拦截器要实现的就只是限流功能,与User无关。(此时ThreadLocal也就没用了)

拦截器:

@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        if (handler instanceof HandlerMethod) {
            // 去掉(转移)了 getUser等逻辑、UserContext等内容
            HandlerMethod hm = (HandlerMethod) handler;
            AccessLimit accessLimit = hm.getMethodAnnotation(AccessLimit.class);
            if (accessLimit == null) {
                return true;
            }
            int seconds = accessLimit.seconds();
            int maxCount = accessLimit.maxCount();


            String key = request.getRequestURI();
            // 根据 ip 等限流,原本是根据userId
            // key += "_" + user.getId();
            key += "_" + request.getRemoteAddr();

            // 后续代码无异
            AccessKey ak = AccessKey.withExpire(seconds);
            Integer count = redisService.get(ak, key, Integer.class);
            if (count == null) {
                redisService.set(ak, key, 1);
            } else if (count < maxCount) {
                redisService.incr(ak, key);
            } else {
                // 其实这里可以直接抛出异常,效果一样
                // throw new GlobalException(CodeMsg.ACCESS_LIMIT_REACHED);
                render(response, CodeMsg.ACCESS_LIMIT_REACHED);
                return false;
            }
        }
        return super.preHandle(request, response, handler);
    }

参数解析器:

public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {

        HttpServletRequest request=webRequest.getNativeRequest(HttpServletRequest.class);
        HttpServletResponse response=webRequest.getNativeResponse(HttpServletResponse.class);
        MiaoshaUser user = getUser(request,response);
    	// 统一判空
    	if (user == null) {
            throw new GlobalException(CodeMsg.SESSION_ERROR);
        }
    
        return user;
    }

 	// 下面的就是转移了代码,无异
    private MiaoshaUser getUser(HttpServletRequest request, HttpServletResponse response) {
        String paramToken = request.getParameter(MiaoshaUserService.COOKI_NAME_TOKEN);
        String cookieToken = getCookieValue(request, MiaoshaUserService.COOKI_NAME_TOKEN);
        if (StringUtils.isEmpty(cookieToken) && StringUtils.isEmpty(paramToken)) {
            return null;
        }
        String token = StringUtils.isEmpty(paramToken) ? cookieToken : paramToken;
        return userService.getByToken(response, token);
    }

    private String getCookieValue(HttpServletRequest request, String cookiName) {
        Cookie[] cookies = request.getCookies();
        if (cookies == null || cookies.length <= 0) {
            return null;
        }
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals(cookiName)) {
                return cookie.getValue();
            }
        }
        return null;
    }

这样处理后,Controller方法里面大量的(↓),就可以去掉了

if (user == null) {
      return Result.error(CodeMsg.SESSION_ERROR);
}

至于真的用于传输数据的,就如上所述,替换成xxxVO,简化判空的逻辑就跟其他的一样,用JSR-303简化即可。

感触:

其实之前一直不懂为什么不用现成的对象,非要自定义VO对象。

如果是传参数据涉及多个对象还可以理解,但数据都在一个对象内的时候,还要定义VO对象,说是减少传输数据、逻辑清晰。但笔者还是不太理解的。而经过这次的处理,也算是理解了VO的意义所在。

本文完,有误欢迎指出

JPA注解@Access实例
03-09
JPA注解@Access实例 test-jpa
@AccessLimit接口限流
qq_56769991的博客
04-01 2993
当我们需要对后端的某些接口进行限流(其实防止一些请求在一定时间内进行多次访问,比如防止用户1秒内多次进行评论、防止多次重复登录等操作,这时我们就需要对该接口进行限流) 当然限流操作还有一些场景: 秒杀活动,有人使用软件恶意刷单抢货,需要限流防止机器参与活动 某api被各式各样系统广泛调用,严重消耗网络、内存等资源,需要合理限流 淘宝获取ip所在城市接口、微信公众号识别微信用户等开发接口,免费提供给用户时需要限流,更具有实时性和准确性的接口需要付费。 总的就是说防止同一用户对单个接口进行重复调用,这里我们
java 常用注解
后海大鲨鱼
04-09 447
Bean:注解在方法上,声明当前方法的返回值为一个bean,替代xml中的方式;就是返回new 一个对象实例@Value:就是将配置文件中键对应的值分配给其带这个注解的属性,属性上:@Value("${}")在配置类上使用,开启计划任务的支持(类上)@Scheduled来申明这是一个任务,包括cron,fixDelay,fixRate等类型(方法上,需先开启计划任务的支持)
SpringBoot自定义注解(AOP)
donjar_zou的博客
07-22 2038
自定义AOP package com.xxx域名xxx.xxx项目名xx.annotation; import java.lang.annotation.*; @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AccessLimit { int seconds(); int maxCount(); } ..
浅谈Java之自定义注解AccessLimit
最新发布
a876106354的博客
12-13 510
Java中, 是一个标准的注解(annotation),它可能是特定框架或库中的自定义注解,用于限制对某个方法或类的访问频率,以防止滥用或过载。这种注解通常用于实现限流(Rate Limiting)的功能。限流是一种控制资源访问速率的机制,确保服务在高负载下仍能保持稳定,防止系统过载。在同的上下文中, 的实现和行为可能会有所同。以下是一些可能的场景和实现方式:在某些框架中,比如Spring Cloud,你可以使用注解来限制方法的访问频率。这通常是通过引入第三方库,如Google的Guava库或者自己
手写基于AOP限流的注解,防止恶意刷接口
感谢关注点赞,笔芯啾咪!
05-21 629
先上代码,使用自定义 @AccessLimit(seconds = 30,maxCount = 10)注解可以实现30秒内被注解的方法只能被访问10次,30秒后又重置次数。 @RequestMapping("/redis") @AccessLimit(seconds = 30,maxCount = 10) @Cacheable(cacheNames = "user", key = "#a+''+#b", unless = "#a==null || # b==null")
拦截器实现防刷接口
u010272132的博客
12-09 199
【代码】拦截器实现防刷接口。
自定义注解:AccessLimit
fhxyryxc的博客
02-18 1006
注解类 @Retention(RUNTIME) @Target(METHOD) public @interface AccessLimit { int seconds(); int maxCount(); boolean needLogin()default true; } Interceptor拦截器 @Component public class FangshuaInterceptor extends HandlerInterceptorAdapter { @Auto
一个注解+AOP 实现接口限流、防重、防抖
m0_61075687的博客
05-31 979
接口限流、防重复提交、接口防抖,是保证接口安全、稳定提供服务,以及防止错误数据活脏数据产生的重要手段。下面我讲用实际的代码例子来说明怎么用注解和AOP搞定限流、防重、防抖。
rest接口_Web服务开发:Spring Boot集成Redis,控制REST访问频率
weixin_39707168的博客
11-26 293
目录:1. Spring Boot集成Redis2. 封装服务RedisService.java3. 单元测试RedisServiceTest.java4. Redis读写功能调用5. Redis使用技巧:控制REST接口访问频率6. 封装Annotation注解,灵活控制REST接口访问频率7. 代码优化:ExceptionHandler全局处理异常Redis是一个高性能的key-value数据...
拦截拦截失败?
weixin_51419212的博客
05-19 1397
首先检查你是否清除了浏览器的记录,如果清楚是没有声明变化的 package com.kuang_first_project.config; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
自定义 AccessLimit 注解实现 Spring Boot 接口防刷
Sanchar
09-12 2139
技术要点:Spring Boot的基本知识 首先是写一个注解类: import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHO
java @around_解决@Around对静态方法生效的问题
weixin_32308101的博客
03-02 3637
场景:在处理定时任务时,由于这几个方法都是静态方法,在aop的切面中使用@Around注解,进行监控方法调用是否有异常。发现aop没有生效。代码如下:/*切面类*/@Aspect@Componentpublic class RetryAop {private static Logger logger = LoggerFactory.getLogger(RetryAop.class);@Around...
access实现limit分页
xuezike的专栏
04-09 5087
由于access里面没有mysql的limit语句进行分页,所有我们可以使用top语句来实现分页功能。access的top是用来获取记录集的前几个的。 先定义一下变量 size---单页的记录数 page---页数,从2开始 (第一页需要特殊处理) 我们先获取包括当前页的前几页的记录集A:  select top (page*size)  * from [table] order by [
Access实现limit类似的功能的方法
MemRay
10-15 7061
Access实现limit类似的功能的方法这篇文章的内容如下: Mysql数据库支持LIMIT语句,所以使得翻页易如反掌,比如我们可以这么写: SELECT * FROM Doc WHERE docSort=‘Java’ LIMIT 0,30 表示从第1条开始取30条记录。但其他数据库都支持这个语句,所以只能另辟蹊径了,下面就来介绍一下“掐头去尾”法。此方法主要是利用 了
spring boot中的拦截器限制用户访问接口次数
热门推荐
PzzZ的博客
01-06 1万+
1、自定义一个拦截器集成HandlerInterceptorAdapter里面的preHandle方法 @Service public class AccessInterceptor extends HandlerInterceptorAdapter{ @Autowired RedisService redisService; @Override publi
AccessLimitIntercept
武壮
11-02 474
@Component @Slf4j /** * 对请求服务的请求进行限流 */ public class AccessLimitIntercept implements HandlerInterceptor { @Autowired private StringRedisTemplate redisTemplate; /** * 接口调用前检查对方ip是否频繁调用接口 * * @param request * @param respo.
Access查询实现Mysql的 limit 查询
songhuiwei的专栏
08-23 1981
Access 支持 limit 查询. 过可以变通一下也能实现.下面是代码了 从 page 处取出 pageInt 条记录 字段id 自动编号 select * from(select top $pageInt * from (select top " . ($page + $pageInt) . " * from table order by id asc)
秒杀系统——整体流程
qq_40058686的博客
03-26 1993
技术点:Thymeleaf springboot jsr303 mybatis rabbitmq redis druid 总体流程: 大并发的瓶颈:数据库。所以我们处理大并发的出发点就是怎么减少对数据库的访问,现在能够想到的就是加各种各样的缓存来减少对数据库的访问。比如页面缓存,url缓存,对象缓存,redis缓存等等 优化的方向:缓...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值