11.防刷限流

之前我們已經講了流量削峯，接下來講下防刷限流。

首先我們可以使用比較通用的驗證碼，包裝秒殺令牌前置，需要驗證碼來錯峯。

我們可以使用awt來生成圖片：

public class CodeUtil {
    private static int width = 90;// 定義圖片的width
    private static int height = 20;// 定義圖片的height
    private static int codeCount = 4;// 定義圖片上顯示驗證碼的個數
    private static int xx = 15;
    private static int fontHeight = 18;
    private static  int codeY = 16;
    private static char[] codeSequence = { 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R',
            'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9' };

    /**
     * 生成一個map集合
     * code爲生成的驗證碼
     * codePic爲生成的驗證碼BufferedImage對象
     * @return
     */
    public static Map<String,Object> generateCodeAndPic() {
        // 定義圖像buffer
        BufferedImage buffImg = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
        // Graphics2D gd = buffImg.createGraphics();
        // Graphics2D gd = (Graphics2D) buffImg.getGraphics();
        Graphics gd = buffImg.getGraphics();
        // 創建一個隨機數生成器類
        Random random = new Random();
        // 將圖像填充爲白色
        gd.setColor(Color.WHITE);
        gd.fillRect(0, 0, width, height);

        // 創建字體，字體的大小應該根據圖片的高度來定。
        Font font = new Font("Fixedsys", Font.BOLD, fontHeight);
        // 設置字體。
        gd.setFont(font);

        // 畫邊框。
        gd.setColor(Color.BLACK);
        gd.drawRect(0, 0, width - 1, height - 1);

        // 隨機產生40條幹擾線，使圖象中的認證碼不易被其它程序探測到。
        gd.setColor(Color.BLACK);
        for (int i = 0; i < 30; i++) {
            int x = random.nextInt(width);
            int y = random.nextInt(height);
            int xl = random.nextInt(12);
            int yl = random.nextInt(12);
            gd.drawLine(x, y, x + xl, y + yl);
        }

        // randomCode用於保存隨機產生的驗證碼，以便用戶登錄後進行驗證。
        StringBuffer randomCode = new StringBuffer();
        int red = 0, green = 0, blue = 0;

        // 隨機產生codeCount數字的驗證碼。
        for (int i = 0; i < codeCount; i++) {
            // 得到隨機產生的驗證碼數字。
            String code = String.valueOf(codeSequence[random.nextInt(36)]);
            // 產生隨機的顏色分量來構造顏色值，這樣輸出的每位數字的顏色值都將不同。
            red = random.nextInt(255);
            green = random.nextInt(255);
            blue = random.nextInt(255);

            // 用隨機產生的顏色將驗證碼繪製到圖像中。
            gd.setColor(new Color(red, green, blue));
            gd.drawString(code, (i + 1) * xx, codeY);

            // 將產生的四個隨機數組合在一起。
            randomCode.append(code);
        }
        Map<String,Object> map  =new HashMap<String,Object>();
        //存放驗證碼
        map.put("code", randomCode);
        //存放生成的驗證碼BufferedImage對象
        map.put("codePic", buffImg);
        return map;
    }

    public static void main(String[] args) throws Exception {
        //創建文件輸出流對象
        OutputStream out = new FileOutputStream("E://"+System.currentTimeMillis()+".jpg");
        Map<String,Object> map = CodeUtil.generateCodeAndPic();
        ImageIO.write((RenderedImage) map.get("codePic"), "jpeg", out);
        System.out.println("驗證碼的值爲："+map.get("code"));
    }
}

新開個接口

    //生成驗證碼
    @RequestMapping(value = "/generateverifycode",method = {RequestMethod.POST , RequestMethod.GET})
    @ResponseBody
    public void generateverifycode(HttpServletResponse response) throws BusinessException, IOException {
        //根據token獲取用戶信息
        String token = httpServletRequest.getParameterMap().get("token")[0];
        if (StringUtils.isEmpty(token)){
            throw new BusinessException(EmBusinessError.USER_NOT_LOGIN,"用戶還未登陸，不能生成");
        }
        UserModel userModel = (UserModel) redisTemplate.opsForValue().get(token);
        if(userModel == null){
            throw new BusinessException(EmBusinessError.USER_NOT_LOGIN,"用戶還未登陸，不能下單");
        }
        //創建文件輸出流對象
        Map<String,Object> map = CodeUtil.generateCodeAndPic();
        redisTemplate.opsForValue().set("verify_code_" + userModel.getId() , map.get("code"));
        redisTemplate.expire("verify_code_" + userModel.getId() , 5 , TimeUnit.MINUTES);
        ImageIO.write((RenderedImage) map.get("codePic"), "jpeg", response.getOutputStream());
    }

在生成訂單的時候進行校驗即可。

那麼我們限流的目的是什麼？因爲流量遠比你想的更多，系統活着比掛了好。寧願只能讓少部分人能用，也不要讓所有人不能用。

限流方案：

限併發：例如在controller入口加計數器，每次請求入口都減1，每次出口的時候把1加回來，這樣就可以做到同一時間請求接口的數量是有限的，一旦超過，就拒絕請求。

限制tps（對數據庫產生寫操作的容量指標）、qps（查詢容量指標）：有兩種算法，令牌桶算法、漏桶算法。

令牌桶原理：

我們先設置10個令牌的令牌桶，請求每次進來都會從令牌桶裏拿一個令牌，在設置一個定時器，每秒鐘往令牌桶裏加10個令牌，這樣就做到了我們的tps每秒都是10。

漏桶算法原理：

有一個桶，裏面有100滴水，每秒鐘以10滴水的速度流出。客戶端每次請求都相當於往桶裏加一滴水，桶是滿的的情況下是加不進去的，也就是拒絕請求。這樣也保證了tps爲10。

二者的區別是：漏桶算法沒有辦法應對突發流量，就算有再大的流量進來，允許通過的都是固定的10個。令牌桶算法可以靈活地設置令牌數。所以漏桶算法是平滑網絡流量，以固定的速率流入。令牌桶算法限制了某一秒鐘流量的最大值，可以應對較大的流量，但不能超過限定值。

在實際應用中，令牌桶算法用的更多。

對於限流力度有兩種：接口維度和總維度

對於限流方式：

集羣限流：依賴redis或者其他中間件做統一奇數騎，往往會產生性能瓶頸。

單機限流：負載均衡的前提下單機平均限流效果更好。

編碼：

    private RateLimiter orderCreatRateLimiter;

    @PostConstruct
    public void init(){
        orderCreatRateLimiter = RateLimiter.create(100);
    }

在需要限流的接口上用下面代碼即可：

    if (orderCreatRateLimiter.tryAcquire()){
            throw new BusinessException(EmBusinessError.RATELIMIT);
        }

RateLimiter屬於guava，他類似令牌桶的原理，只不過不是通過定時器，而是當桶空了以後，剩下的請求睡眠，用下一秒鐘給的流量去做請求。

接下來是防刷的問題：

排隊、限流、令牌都只是控制總流量，無法控制黃牛流量。

傳統防刷：

限制一個會話（session_id、token）同一秒/分鐘接口調用多少次：對於多會話接入繞開無效。

限制ip訪問次數：數量不好控制，容易誤傷。

因此我們可以引入設備指紋的概念：

採集終端設備各項參數，啓動應用時生成唯一設備指紋。

根據對應設備指紋的參數猜測模擬器等可以設備的概率（例如判斷藍牙設備是否存在）。

接下來需要憑證系統：

根據設備指紋下發憑證

關鍵業務鏈路上帶上憑證並由業務系統到憑證服務器上做驗證

憑證服務器根據對應憑證所等價的設備指紋參數和實時行爲風控系統判定對應憑證的可以讀分數，若分數低於某個數值則由業務系統返回固定錯誤碼，拉起前端驗證碼驗身，驗身成功後加入憑證服務器對應分數。