.Net Core 使用 AspNetCoreRateLimit 实现限流
上一篇文章介绍过ASP.NET Core 的 Web Api 实现限流 中间件-CSDN博客
使用.NET 7 自带的中间件 Microsoft.AspNetCore.RateLimiting 可以实现简单的Api限流,但是这个.NET 7以后才集成的中间件,如果你使用的是早期版本的.NET,可以使用第三方库AspNetCoreRateLimit实现Api限流。
AspNetCoreRateLimit 是一种 ASP.NET Core 速率限制解决方案,旨在根据 IP 地址或客户端 ID 控制客户端可以向 Web API 或 MVC 应用发出的请求速率。AspNetCoreRateLimit 包包含一个客户端IP限流中间件(IpRateLimitMiddleware)和一个客户端ID限流中间件(ClientRateLimitMiddleware),例如允许 IP 或客户端在时间间隔内(如每秒、15 分钟等)进行最大调用次数。您可以定义这些限制以处理对 API 发出的所有请求,也可以将限制范围限定为每个 API URL 或 HTTP 谓词和路径。
具体实现如下:
1.安装包 AspNetCoreRateLimit :
Install-Package AspNetCoreRateLimit2.appsettings.json文件配置
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"RateLimiting": {
//false,则全局将应用限制,并且仅应用具有作为端点的规则*。例如,如果您设置每秒5次调用的限制,则对任何端点的任何HTTP调用都将计入该限制
//true, 则限制将应用于每个端点,如{HTTP_Verb}{PATH}。例如,如果您为*:/api/values客户端设置每秒5个呼叫的限制,
"EnableEndpointRateLimiting": false,
//false,拒绝的API调用不会添加到调用次数计数器上;如 客户端每秒发出3个请求并且您设置了每秒一个调用的限制,则每分钟或每天计数器等其他限制将仅记录第一个调用,即成功的API调用。如果您希望被拒绝的API调用计入其他时间的显示(分钟,小时等),则必须设置StackBlockedRequests为true。
"StackBlockedRequests": false,
//Kestrel 服务器背后是一个反向代理,如果你的代理服务器使用不同的页眉然后提取客户端IP X-Real-IP使用此选项来设置
"RealIpHeader": "X-Real-IP",
//取白名单的客户端ID。如果此标头中存在客户端ID并且与ClientWhitelist中指定的值匹配,则不应用速率限制。
"ClientIdHeader": "X-ClientId",
//限制状态码
"HttpStatusCode": 429,
IP白名单:支持Ip v4和v6
//"IpWhitelist": [ "127.0.0.1", "::1/10", "192.168.0.0/24" ],
端点白名单:支持各种请求;
//"EndpointWhitelist": [ "get:/api/license", "*:/api/status" ],
客户端白名单
//"ClientWhitelist": [ "dev-id-1", "dev-id-2" ],
//通用规则
"GeneralRules": [
{
//端点路径
"Endpoint": "*",
//时间段,格式:{数字}{单位};可使用单位:s, m, h, d
"Period": "1s",
//限制
"Limit": 1
},
//15分钟只能调用100次
{
"Endpoint": "*",
"Period": "15m",
"Limit": 100
},
//12H只能调用1000
{
"Endpoint": "*",
"Period": "12h",
"Limit": 1000
},
//7天只能调用10000次
{
"Endpoint": "*",
"Period": "7d",
"Limit": 10000
}
]
},
"IpRateLimitPolicies": {
//ip规则
"IpRules": [
{
//IP
"Ip": "127.0.0.1",
//规则内容
"Rules": [
//1s请求10次
{
"Endpoint": "*",
"Period": "1s",
"Limit": 10
},
//15分钟请求200次
{
"Endpoint": "*",
"Period": "15m",
"Limit": 200
}
]
},
{
//ip支持设置多个
"Ip": "192.168.3.22/25",
"Rules": [
//1秒请求5次
{
"Endpoint": "*",
"Period": "1s",
"Limit": 5
},
//15分钟请求150次
{
"Endpoint": "*",
"Period": "15m",
"Limit": 150
},
//12小时请求500次
{
"Endpoint": "*",
"Period": "12h",
"Limit": 500
}
]
}
]
},
"ClientRateLimitPolicies": {
"ClientRules": [
{
"ClientId": "client-id-1",
"Rules": [
{
"Endpoint": "*",
"Period": "1s",
"Limit": 10
},
{
"Endpoint": "*",
"Period": "15m",
"Limit": 200
}
]
},
{
"ClientId": "client-id-2",
"Rules": [
{
"Endpoint": "*",
"Period": "1s",
"Limit": 5
},
{
"Endpoint": "*",
"Period": "15m",
"Limit": 150
},
{
"Endpoint": "*",
"Period": "12h",
"Limit": 500
}
]
}
]
}
}
3.服务的注入与使用
在 Program.cs 添加注入服务的代码:
public static void Main(string[] args)
{
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();
#region 注入限流
//需要从appsettings.json加载配置
builder.Services.AddOptions();
//需要存储速率限制计数器和ip规则
builder.Services.AddMemoryCache();
//从appsettings.json加载常规配置
builder.Services.Configure(builder.Configuration.GetSection("RateLimiting"));
//从appsettings.json加载ip规则
builder.Services.Configure(builder.Configuration.GetSection("IpRateLimitPolicies"));
//builder.Services.Configure(builder.Configuration.GetSection("RateLimiting"));
//builder.Services.Configure(builder.Configuration.GetSection("ClientRateLimitPolicies"));
// 注入计数器和规则存储
builder.Services.AddInMemoryRateLimiting();
//services.AddDistributedRateLimiting();
//services.AddDistributedRateLimiting();
//services.AddRedisRateLimiting();
builder.Services.AddSingleton();
#endregion
var app = builder.Build();
// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
app.UseSwagger();
app.UseSwaggerUI();
}
app.UseAuthorization();
//启用客户端IP限制速率
app.UseIpRateLimiting();
//启用客户端ID限制速率
//app.UseClientRateLimiting();
app.MapControllers();
app.Run();
} 
4.运行测试
我这里配置的是默认1秒只能请求一次,超出一次返回429
API calls quota exceeded! maximum admitted 1 per 1s.
错误:
5.基于客户端ID速率限制
如果要启用客户端ID速率限制,需要使用 ClientRateLimitMiddleware 中间件 ,Program.cs中使用app.UseClientRateLimiting();来启用客户端ID限制速率,配置加载也要使用ClientRateLimitOptions和ClientRateLimitPolicies:
在 appsettings.json 增加 ClientRateLimitPolicies配置:
