11.防刷限流

之前我们已经讲了流量削峰，接下来讲下防刷限流。

首先我们可以使用比较通用的验证码，包装秒杀令牌前置，需要验证码来错峰。

我们可以使用awt来生成图片：

public class CodeUtil {
    private static int width = 90;// 定义图片的width
    private static int height = 20;// 定义图片的height
    private static int codeCount = 4;// 定义图片上显示验证码的个数
    private static int xx = 15;
    private static int fontHeight = 18;
    private static  int codeY = 16;
    private static char[] codeSequence = { 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R',
            'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9' };

    /**
     * 生成一个map集合
     * code为生成的验证码
     * codePic为生成的验证码BufferedImage对象
     * @return
     */
    public static Map<String,Object> generateCodeAndPic() {
        // 定义图像buffer
        BufferedImage buffImg = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
        // Graphics2D gd = buffImg.createGraphics();
        // Graphics2D gd = (Graphics2D) buffImg.getGraphics();
        Graphics gd = buffImg.getGraphics();
        // 创建一个随机数生成器类
        Random random = new Random();
        // 将图像填充为白色
        gd.setColor(Color.WHITE);
        gd.fillRect(0, 0, width, height);

        // 创建字体，字体的大小应该根据图片的高度来定。
        Font font = new Font("Fixedsys", Font.BOLD, fontHeight);
        // 设置字体。
        gd.setFont(font);

        // 画边框。
        gd.setColor(Color.BLACK);
        gd.drawRect(0, 0, width - 1, height - 1);

        // 随机产生40条干扰线，使图象中的认证码不易被其它程序探测到。
        gd.setColor(Color.BLACK);
        for (int i = 0; i < 30; i++) {
            int x = random.nextInt(width);
            int y = random.nextInt(height);
            int xl = random.nextInt(12);
            int yl = random.nextInt(12);
            gd.drawLine(x, y, x + xl, y + yl);
        }

        // randomCode用于保存随机产生的验证码，以便用户登录后进行验证。
        StringBuffer randomCode = new StringBuffer();
        int red = 0, green = 0, blue = 0;

        // 随机产生codeCount数字的验证码。
        for (int i = 0; i < codeCount; i++) {
            // 得到随机产生的验证码数字。
            String code = String.valueOf(codeSequence[random.nextInt(36)]);
            // 产生随机的颜色分量来构造颜色值，这样输出的每位数字的颜色值都将不同。
            red = random.nextInt(255);
            green = random.nextInt(255);
            blue = random.nextInt(255);

            // 用随机产生的颜色将验证码绘制到图像中。
            gd.setColor(new Color(red, green, blue));
            gd.drawString(code, (i + 1) * xx, codeY);

            // 将产生的四个随机数组合在一起。
            randomCode.append(code);
        }
        Map<String,Object> map  =new HashMap<String,Object>();
        //存放验证码
        map.put("code", randomCode);
        //存放生成的验证码BufferedImage对象
        map.put("codePic", buffImg);
        return map;
    }

    public static void main(String[] args) throws Exception {
        //创建文件输出流对象
        OutputStream out = new FileOutputStream("E://"+System.currentTimeMillis()+".jpg");
        Map<String,Object> map = CodeUtil.generateCodeAndPic();
        ImageIO.write((RenderedImage) map.get("codePic"), "jpeg", out);
        System.out.println("验证码的值为："+map.get("code"));
    }
}

新开个接口

    //生成验证码
    @RequestMapping(value = "/generateverifycode",method = {RequestMethod.POST , RequestMethod.GET})
    @ResponseBody
    public void generateverifycode(HttpServletResponse response) throws BusinessException, IOException {
        //根据token获取用户信息
        String token = httpServletRequest.getParameterMap().get("token")[0];
        if (StringUtils.isEmpty(token)){
            throw new BusinessException(EmBusinessError.USER_NOT_LOGIN,"用户还未登陆，不能生成");
        }
        UserModel userModel = (UserModel) redisTemplate.opsForValue().get(token);
        if(userModel == null){
            throw new BusinessException(EmBusinessError.USER_NOT_LOGIN,"用户还未登陆，不能下单");
        }
        //创建文件输出流对象
        Map<String,Object> map = CodeUtil.generateCodeAndPic();
        redisTemplate.opsForValue().set("verify_code_" + userModel.getId() , map.get("code"));
        redisTemplate.expire("verify_code_" + userModel.getId() , 5 , TimeUnit.MINUTES);
        ImageIO.write((RenderedImage) map.get("codePic"), "jpeg", response.getOutputStream());
    }

在生成订单的时候进行校验即可。

那么我们限流的目的是什么？因为流量远比你想的更多，系统活着比挂了好。宁愿只能让少部分人能用，也不要让所有人不能用。

限流方案：

限并发：例如在controller入口加计数器，每次请求入口都减1，每次出口的时候把1加回来，这样就可以做到同一时间请求接口的数量是有限的，一旦超过，就拒绝请求。

限制tps（对数据库产生写操作的容量指标）、qps（查询容量指标）：有两种算法，令牌桶算法、漏桶算法。

令牌桶原理：

我们先设置10个令牌的令牌桶，请求每次进来都会从令牌桶里拿一个令牌，在设置一个定时器，每秒钟往令牌桶里加10个令牌，这样就做到了我们的tps每秒都是10。

漏桶算法原理：

有一个桶，里面有100滴水，每秒钟以10滴水的速度流出。客户端每次请求都相当于往桶里加一滴水，桶是满的的情况下是加不进去的，也就是拒绝请求。这样也保证了tps为10。

二者的区别是：漏桶算法没有办法应对突发流量，就算有再大的流量进来，允许通过的都是固定的10个。令牌桶算法可以灵活地设置令牌数。所以漏桶算法是平滑网络流量，以固定的速率流入。令牌桶算法限制了某一秒钟流量的最大值，可以应对较大的流量，但不能超过限定值。

在实际应用中，令牌桶算法用的更多。

对于限流力度有两种：接口维度和总维度

对于限流方式：

集群限流：依赖redis或者其他中间件做统一奇数骑，往往会产生性能瓶颈。

单机限流：负载均衡的前提下单机平均限流效果更好。

编码：

    private RateLimiter orderCreatRateLimiter;

    @PostConstruct
    public void init(){
        orderCreatRateLimiter = RateLimiter.create(100);
    }

在需要限流的接口上用下面代码即可：

    if (orderCreatRateLimiter.tryAcquire()){
            throw new BusinessException(EmBusinessError.RATELIMIT);
        }

RateLimiter属于guava，他类似令牌桶的原理，只不过不是通过定时器，而是当桶空了以后，剩下的请求睡眠，用下一秒钟给的流量去做请求。

接下来是防刷的问题：

排队、限流、令牌都只是控制总流量，无法控制黄牛流量。

传统防刷：

限制一个会话（session_id、token）同一秒/分钟接口调用多少次：对于多会话接入绕开无效。

限制ip访问次数：数量不好控制，容易误伤。

因此我们可以引入设备指纹的概念：

采集终端设备各项参数，启动应用时生成唯一设备指纹。

根据对应设备指纹的参数猜测模拟器等可以设备的概率（例如判断蓝牙设备是否存在）。

接下来需要凭证系统：

根据设备指纹下发凭证

关键业务链路上带上凭证并由业务系统到凭证服务器上做验证

凭证服务器根据对应凭证所等价的设备指纹参数和实时行为风控系统判定对应凭证的可以读分数，若分数低于某个数值则由业务系统返回固定错误码，拉起前端验证码验身，验身成功后加入凭证服务器对应分数。