Java Servlet 中限制 HTTP 请求

Question

在 java servlet 中，如何根据客户端的 IP 地址限制来自用户的 http 请求？我不想每秒处理来自特定源 IP 地址的超过 X 个请求，其中 X 是可配置的并且具有 [0.1; 中的实际值； 10]范围（从 10 秒内 1 个请求到每秒 10 个请求）。

Answer 1

托管在 code.google.com 上的 owasp-esapi-java 项目有一个节流过滤器的实现，您可以“按原样”使用它，也可以将其用作您自己的灵感。

您可以通过以下链接查看代码：

http://code.google.com/p/owasp-esapi-java/source/browse/trunk/src/main/java/org/owasp/esapi/filters/RequestRateThrottleFilter.java

Answer 2

使用servlet过滤器：如果您使用的是Jetty 7.0或更高版本，则有这个

Answer 3

我会为该任务编写一个过滤器。

Answer 4

正如@EJP所说，使用带有HashMap的过滤器，通过IP地址键存储上次访问时间。每秒 10 个请求将转化为调用之间至少 100 毫秒。发回服务器繁忙错误代码并终止请求将快速关闭连接使用的资源。如果您愿意的话，有针对 Apache 的预构建解决方案。

Answer 5

检查您使用的容器是否提供此类拒绝服务。如果没有，那么你就必须使用过滤器。

ServletRequest.getRemoteHost() 使您可以访问客户端 IP。