Redis滑动窗口做登录限流

这里实现一分钟内只允许5次登录，废话不多说直接上代码：

1.使用 Lua 脚本 将“清理过期数据 → 统计计数 → 判断是否超限 → 添加新记录”四个操作封装为一个原子操作，避免高并发下 count 与 add 之间的竞争条件。

-- KEYS[1] : 限流key，例如 "login:limit:phone:138****0000" -- ARGV[1] : 当前时间戳（毫秒） -- ARGV[2] : 窗口大小（毫秒） -- ARGV[3] : 限流阈值（最大请求次数） -- ARGV[4] : 本次请求的唯一标识（例如时间戳+随机数） local window_start = tonumber(ARGV[1]) - tonumber(ARGV[2]) -- 1. 删除窗口外的旧数据 redis.call('ZREMRANGEBYSCORE', KEYS[1], 0, window_start) -- 2. 统计窗口内当前请求数 local current_count = redis.call('ZCARD', KEYS[1]) -- 3. 判断是否超过阈值 if current_count < tonumber(ARGV[3]) then -- 4. 添加本次请求记录 redis.call('ZADD', KEYS[1], ARGV[1], ARGV[4]) -- 5. 设置 key 过期时间（窗口大小 + 1秒缓冲） redis.call('EXPIRE', KEYS[1], math.ceil(tonumber(ARGV[2]) / 1000) + 1) return 1 -- 放行 else return 0 -- 限流 end

2.新建一个limit包，编写服务如下，也可以写在service实现类中：

package com.hmdp.limit; import org.springframework.core.io.ClassPathResource; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.data.redis.core.script.DefaultRedisScript; import org.springframework.scripting.support.ResourceScriptSource; import org.springframework.stereotype.Service; import javax.annotation.PostConstruct; import javax.annotation.Resource; import java.util.Collections; import java.util.UUID; @Service public class LoginLimitService { @Resource private StringRedisTemplate stringRedisTemplate; //定义一个redis lua脚本，返回long类型数据 private DefaultRedisScript<Long> loginLimitScript; private static final long WINDOW_SIZE_MS = 60 * 1000L; // 1分钟 窗口 private static final int LIMIT_COUNT = 5; @PostConstruct public void init() { loginLimitScript = new DefaultRedisScript<>(); // 加载 resources/lua/login_limit.lua loginLimitScript.setScriptSource(new ResourceScriptSource(new ClassPathResource("login_limit.lua"))); loginLimitScript.setResultType(Long.class); } public boolean tryAcquire(String phoneNumber) { String key = "login:limit:phone:" + phoneNumber; long now = System.currentTimeMillis(); //获取当前系统时间的时间戳 String member = now + "_" + UUID.randomUUID().toString(); //在zset中member如果一样 后写的会覆盖前写的 保证member的唯一 Long result = stringRedisTemplate.execute( loginLimitScript, Collections.singletonList(key), String.valueOf(now), String.valueOf(WINDOW_SIZE_MS), String.valueOf(LIMIT_COUNT), member ); return result != null && result == 1L; } }

注意这里StringRedisTemplate需要配置序列化器

3.登录接口：

@PostMapping("/login") public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session, HttpServletRequest request){ String phone =loginForm.getPhone(); // 实现登录功能 if ( phone== null){ phone = IpUtils.getIp( request); //拿到ip 作为手机号 } //添加滑动窗口进行登录限流 每一分钟 最多5次 if (!loginLimitService.tryAcquire(phone)) { return Result.fail("登录尝试过于频繁，请稍后再试"); } return userService.login(loginForm, session); }

4.如果请求手机号是空的，拿到请求ip做key，在config包下添加iputils如下：

package com.hmdp.utils; import javax.servlet.http.HttpServletRequest; //获取ip的工具类 public class IpUtils { public static String getIp(HttpServletRequest request) { String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } // 取第一个IP if (ip != null && ip.contains(",")) { ip = ip.split(",")[0].trim(); } return ip; } }

当然如果手机号码是强校验也可以省略ip来做key

5.postman做测试：在连续点击5次登录请求之后，可以看到直接返回了登录过于频繁

注意401 要带请求token

6.redis中窗口如图所示：