如何在春季基于客户端令牌实施速率限制?
我正在使用Spring 3 + Spring MVC开发一个简单的REST API。身份验证将通过OAuth 2.0或使用Spring Security的客户端令牌进行基本身份验证。这仍在辩论中。所有连接都将通过 SSL 连接强制进行。
我一直在寻找有关如何实现速率限制的信息,但似乎没有太多信息。实现需要分布式,因为它可以跨多个Web服务器工作。
例如,如果有三个api服务器A,B,C,并且客户端被限制为每秒5个请求,那么发出6个类似请求的客户端会发现对C的请求被拒绝并出现错误。
A recieves 3 requests \
B receives 2 requests | Executed in order, all requests from one client.
C receives 1 request /
它需要基于请求中包含的令牌工作,因为一个客户端可能代表许多用户发出请求,并且每个用户都应该受到速率限制,而不是服务器IP地址。
设置将是 HAProxy 负载平衡器后面的多个 (2-5) 个 Web 服务器。有一个Cassandra支持,并使用memcached。网络服务器将在Jetty上运行。
一种潜在的解决方案可能是编写一个自定义的Spring Security过滤器,用于提取令牌并检查在过去X秒内使用令牌发出了多少请求。这将使我们能够做一些事情,例如针对不同客户端的不同速率限制。
关于如何做到这一点的任何建议?是否有现有的解决方案,或者我必须编写自己的解决方案?我以前没有做过很多网站基础设施。