Spring Boot REST API to prevent users from making too many requests within a short period of time
서버가 제공할 수 있는 자원에는 제한이 있기 때문에 안정적으로 서비스를 제공하기 위해 예를 들어api 호출횟수를 1분당 60회로 제한하고, 60회를 넘어서는 순간 요청을 처리하지 않고 리턴한다. 이를 Throttling이라고도 한다.
Rate Limit가 필요한 사례
1. 서비스의 안정성 및 성능보장 : 서버가 다운되는 등의 사고를 미연에 방지하기 위해
2. 서비스의 가용성 확보 : 과도한 트래픽으로부터 서비스를 보호
3. 보안 : 로그인, 프로모션 코드와 같이 보안적으로 중요한 기능을 brute force attck으로부터 보호한다.
4. 운영 비용 관리 : 트래픽이 몰릴 때 auto scaling 하지 않고 scale의 virtual cap을 두고 제한
5. 특정 클라이언트가 서버의 자원을 독점하지 못하도록
6. rate에 따라 요금을 다르게 부과하는 비즈니스 모델 활용 가능.
1. Spring Boot에서 Interceptor로 등록해서 해결
@Component
public class RateLimitFilter extends OncePerRequestFilter {
private final IpAddrUtils ipAddrUtils;
private Map<String, Long> requestTimestamps = new ConcurrentHashMap<>();
private static final long RATE_LIMIT_INTERVAL = 60000; // 1 minute
private static final int MAX_REQUESTS_PER_INTERVAL = 5;
public RateLimitFilter(IpAddrUtils ipAddrUtils) {
this.ipAddrUtils = ipAddrUtils;
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
String ipAddress = ipAddrUtils.getClientIP(request);
long currentTime = System.currentTimeMillis();
if (requestTimestamps.containsKey(ipAddress)) {
long lastRequestTime = requestTimestamps.get(ipAddress);
if (currentTime - lastRequestTime < RATE_LIMIT_INTERVAL) {
response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
return;
}
}
// Update the timestamp for this request
requestTimestamps.put(ipAddress, currentTime);
filterChain.doFilter(request, response);
}
}
2. Guava RateLimiter 라이브러리 사용하기
3. Distributed Rate Limiting
application이 분산환경에서 운영중일 때 분산된 rate limiting 처리하기 위해 Redis나 memcached 사용하기
https://etloveguitar.tistory.com/126
'Back-end > Spring-핵심& webMVC' 카테고리의 다른 글
SpringBoot Actuator (0) | 2024.07.29 |
---|---|
파일 다운로드, 파일 업로드 API 구현 시 보안 상 유의점 (0) | 2023.09.14 |
gradle, maven 차이 및 빌드에 관하여 (0) | 2023.02.12 |
Spring Filter, Interceptor의 범위 및 SpringSecurity FilterChain와의 관계 (0) | 2023.01.18 |
@RequestBody, @RequestPart (0) | 2023.01.15 |