Comment faire pour limiter les demandes dans les Api Web?

Je suis en train de mettre en œuvre la limitation des requêtes via le suivant:

La meilleure façon de mettre en œuvre la limitation des requêtes en ASP.NET MVC?

J'ai tiré de ce code dans ma solution et décoré d'une API contrôleur de point de terminaison avec l'attribut: 

[Route("api/dothis/{id}")]
[AcceptVerbs("POST")]
[Throttle(Name = "TestThrottle", Message = "You must wait {n} seconds before accessing this url again.", Seconds = 5)]
[Authorize]
public HttpResponseMessage DoThis(int id) {...}

Cette compile, mais l'attribut code ne pas se faire frapper, et la limitation ne fonctionne pas. Je ne reçois pas toutes les erreurs si. Ce qui me manque?

InformationsquelleAutor RobVious | 2013-12-28
  1. 43

    Vous semblez être source de confusion action des filtres pour une ASP.NET MVC contrôleur et l'action des filtres pour une ASP.NET Web API contrôleur. Ceux sont 2 des classes complètement différentes:

    Il semble que ce que vous avez montré est une Web API contrôleur de l'action (qui est déclarée à l'intérieur d'un contrôleur découlant de ApiController). Donc, si vous voulez appliquer des filtres personnalisés pour cela, ils doivent dériver de System.Web.Http.Filters.ActionFilterAttribute.

    Donc, nous allons aller de l'avant et d'adapter le code de l'API Web:

    public class ThrottleAttribute : ActionFilterAttribute
{
///<summary>
///A unique name for this Throttle.
///</summary>
///<remarks>
///We'll be inserting a Cache record based on this name and client IP, e.g. "Name-192.168.0.1"
///</remarks>
public string Name { get; set; }
///<summary>
///The number of seconds clients must wait before executing this decorated route again.
///</summary>
public int Seconds { get; set; }
///<summary>
///A text message that will be sent to the client upon throttling.  You can include the token {n} to
///show this.Seconds in the message, e.g. "Wait {n} seconds before trying again".
///</summary>
public string Message { get; set; }
public override void OnActionExecuting(HttpActionContext actionContext)
{
var key = string.Concat(Name, "-", GetClientIp(actionContext.Request));
var allowExecute = false;
if (HttpRuntime.Cache[key] == null)
{
HttpRuntime.Cache.Add(key,
true, //is this the smallest data we can have?
null, //no dependencies
DateTime.Now.AddSeconds(Seconds), //absolute expiration
Cache.NoSlidingExpiration,
CacheItemPriority.Low,
null); //no callback
allowExecute = true;
}
if (!allowExecute)
{
if (string.IsNullOrEmpty(Message))
{
Message = "You may only perform this action every {n} seconds.";
}
actionContext.Response = actionContext.Request.CreateResponse(
HttpStatusCode.Conflict, 
Message.Replace("{n}", Seconds.ToString())
);
}
}
}

    où la GetClientIp méthode vient de ce post.

    Maintenant, vous pouvez utiliser cet attribut sur votre site Web API contrôleur de l'action.

    • Génial! Je crois que je dois changer this.Request juste request dans le GetClientIp méthode, non? Sinon je vous 'ne peut pas résoudre symbole". C'est d'une grande aide, merci beaucoup.
    • Il devrait être GetClientIp(actionContext.Request).
    • Je suis désolé, je voulais dire à l'intérieur de la définition de la méthode, de ne pas l'utiliser. La ligne 10 en référence code.
    • Oh, je vois. Oui, je suppose que vous êtes en droit.
    InformationsquelleAutor Darin Dimitrov
  2. 48

    La solution proposée n'est pas exacte. Il y a au moins 5 raisons pour cela.

    1. Le cache ne fournit pas de verrouillage de contrôle entre les différents threads, donc plusieurs demandes peuvent être des processus en même temps d'introduire appels supplémentaires à sauter à travers la poignée de gaz.
    2. Le Filtre est en cours de traitement "trop tard dans le jeu" à l'intérieur de l'API web de pipeline, de sorte que beaucoup de ressources sont dépensées avant de vous décider que la demande ne devrait pas être traitée. Le DelegatingHandler doit être utilisé car il peut être configuré pour fonctionner au début de l'API Web pipeline et le découpage de la demande avant de faire tout le travail supplémentaire.
    3. Le cache Http lui-même est la dépendance qui pourrait ne pas être disponible avec de nouveaux moteurs d'exécution, comme l'auto-hébergé options. Il est préférable d'éviter cette dépendance.
    4. Cache dans l'exemple ci-dessus ne permet pas de garantir sa survie entre les appels comme il peut être retiré à cause de la pression de la mémoire, en particulier à faible priorité.
    5. Bien qu'il n'est pas trop mauvaise question, réglage de la réponse du statut de "conflit" ne semble pas être la meilleure option. Il est préférable d'utiliser '429-trop de requêtes à la place.

    Il y a beaucoup plus de problèmes et obstacles cachés pour résoudre mise en œuvre de la limitation. Il y a open-source et gratuit options disponibles. Je vous recommande de chercher à https://throttlewebapi.codeplex.com/, par exemple.

    • +1 pour ne pas réinventer la roue. Je suis actuellement à l'évaluation de la nuget.org/packages/WebApiThrottle qui a l'air prometteur.
    • github.com/stefanprodan/WebApiThrottle je crois que c'est le github du projet. Je me suis d'abord mis en œuvre les solutions acceptées, et c'était amusant de les apprendre, mais ils manquent beaucoup ont voulu fonctionnalités. Il n'y a pas de raison de ré inventer la roue, ce module est top
    InformationsquelleAutor lenny12345
  3. 28

    WebApiThrottle est tout à fait le champion de maintenant dans ce domaine.

    C'est super facile à intégrer. Il suffit d'ajouter le suivant à App_Start\WebApiConfig.cs:

    config.MessageHandlers.Add(new ThrottlingHandler()
{
//Generic rate limit applied to ALL APIs
Policy = new ThrottlePolicy(perSecond: 1, perMinute: 20, perHour: 200)
{
IpThrottling = true,
ClientThrottling = true,
EndpointThrottling = true,
EndpointRules = new Dictionary<string, RateLimits>
{ 
//Fine tune throttling per specific API here
{ "api/search", new RateLimits { PerSecond = 10, PerMinute = 100, PerHour = 1000 } }
}
},
Repository = new CacheRepository()
});

    Il est disponible comme un nuget trop avec le même nom.

    • Avez-vous une idée sur la façon d' Liste Blanche l'IP à l'API de niveau dans WebApiThrottling?
    • Où est la upvote amour @maheshsharma ? 🙂 pour votre question, consultez github.com/stefanprodan/...
    • J'ai vécu avec ce lien mais je ne comprends pas comment faire pour api spécifique
    • Je ne pense pas que la liste blanche de l'IP par l'API est pris en charge. Vous avez peut-blanche à l'aide de la Clé API comme alternative à la propriété intellectuelle? ClientWhitelist = new List<string> { "admin-key" }
    • ou utiliser customkeys github.com/stefanprodan/... ClientRules = new Dictionary<string, RateLimits> { { "api-client-key-1", new RateLimits { PerMinute = 40, PerHour = 400 } }, { "api-client-key-9", new RateLimits { PerDay = 2000 } } }
    • ok merci 🙂 je l'ai eu l'autre solution pour ce problème

    InformationsquelleAutor Korayem
  4. 4

    Un Double contrôle de l' using déclarations dans votre action de filtre. Comme vous êtes en utilisant une API contrôleur, s'assurer que vous faites référence à la ActionFilterAttribute dans System.Web.Http.Filters et pas l'un dans System.Web.Mvc.

    using System.Web.Http.Filters;
    • Ah, ouais, ça va le faire. Bien que cela présente beaucoup d'erreurs car tout était selon ActionExecutingContext, qui, je crois, doit maintenant être HttpActionContext - il maintenant. Merci!!!!
    InformationsquelleAutor Ant P
  5. 2

    Je suis en utilisant ThrottleAttribute de limiter le taux d'appel de mon court-envoi d'un message de l'API, mais je l'ai trouvé ne fonctionne pas parfois. L'API peut être appelé plusieurs fois jusqu'à ce que la manette des gaz logique fonctionne, enfin je suis en utilisant System.Web.Caching.MemoryCache au lieu de HttpRuntime.Cache et le problème semble résolu.

    if (MemoryCache.Default[key] == null)
{
MemoryCache.Default.Set(key, true, DateTime.Now.AddSeconds(Seconds));
allowExecute = true;
}
    InformationsquelleAutor Bruce
  6. 1

    Mes 2 cents, c'est d'ajouter quelques informations supplémentaires pour la "clef" à propos de la demande d'infos sur les paramètres, de sorte que les différents paramètre de requête est accordée à partir de la même adresse IP.

    key = Name + clientIP + actionContext.ActionArguments.Values.ToString()

    Aussi, mon peu d'inquiétude au sujet de la "clientIP", est-il possible que deux autre utilisateur d'utiliser le même fournisseur d'accès a la même "clientIP'? Si oui, alors un client de mon être limitée à tort.

    InformationsquelleAutor RyanShao