在 ASP.NET MVC 中实现请求限制的最佳方法？

Question

我们正在尝试各种方法来限制用户操作 给定时间段:

• 限制提问/回答帖子
• 限制编辑
• 限制提要检索

目前，我们使用缓存来简单地插入用户活动记录 - 如果该记录存​​在，如果/当用户执行相同的活动时，我们会进行限制。

使用缓存会自动为我们提供陈旧数据清理和用户滑动活动窗口，但它如何扩展可能是一个问题。

还有哪些其他方法可以确保有效限制请求/用户操作（强调稳定性）？

Answer 1

这是我们过去一年在 Stack Overflow 上使用的通用版本：

/// <summary>
/// Decorates any MVC route that needs to have client requests limited by time.
/// </summary>
/// <remarks>
/// Uses the current System.Web.Caching.Cache to store each client request to the decorated route.
/// </remarks>
[AttributeUsage(AttributeTargets.Method, AllowMultiple = false)]
public class ThrottleAttribute : ActionFilterAttribute
{
    /// <summary>
    /// A unique name for this Throttle.
    /// </summary>
    /// <remarks>
    /// We'll be inserting a Cache record based on this name and client IP, e.g. "Name-192.168.0.1"
    /// </remarks>
    public string Name { get; set; }

    /// <summary>
    /// The number of seconds clients must wait before executing this decorated route again.
    /// </summary>
    public int Seconds { get; set; }

    /// <summary>
    /// A text message that will be sent to the client upon throttling.  You can include the token {n} to
    /// show this.Seconds in the message, e.g. "Wait {n} seconds before trying again".
    /// </summary>
    public string Message { get; set; }

    public override void OnActionExecuting(ActionExecutingContext c)
    {
        var key = string.Concat(Name, "-", c.HttpContext.Request.UserHostAddress);
        var allowExecute = false;

        if (HttpRuntime.Cache[key] == null)
        {
            HttpRuntime.Cache.Add(key,
                true, // is this the smallest data we can have?
                null, // no dependencies
                DateTime.Now.AddSeconds(Seconds), // absolute expiration
                Cache.NoSlidingExpiration,
                CacheItemPriority.Low,
                null); // no callback

            allowExecute = true;
        }

        if (!allowExecute)
        {
            if (String.IsNullOrEmpty(Message))
                Message = "You may only perform this action every {n} seconds.";

            c.Result = new ContentResult { Content = Message.Replace("{n}", Seconds.ToString()) };
            // see 409 - http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
            c.HttpContext.Response.StatusCode = (int)HttpStatusCode.Conflict;
        }
    }
}

使用示例：

[Throttle(Name="TestThrottle", Message = "You must wait {n} seconds before accessing this url again.", Seconds = 5)]
public ActionResult TestThrottle()
{
    return Content("TestThrottle executed");
}

ASP.NET 缓存在这里的工作方式就像冠军一样 - 通过使用它，您可以自动清理您的节流条目。随着我们的流量不断增长，我们并没有发现这是服务器上的问题。

请随意提供有关此方法的反馈；当我们让 Stack Overflow 变得更好时，您就会得到 伊渥克人修复 甚至更快 ：）

Answer 2

Microsoft 为 IIS 7 提供了一个新扩展，称为 IIS 7.0 的动态 IP 限制扩展 - Beta。

“IIS 7.0 的动态 IP 限制是一个模块，可提供针对 Web 服务器和网站的拒绝服务和暴力攻击的保护。这种保护是通过暂时阻止发出异常大量并发请求或在短时间内发出大量请求的 HTTP 客户端的 IP 地址来提供的。” http://learn.iis.net/page.aspx/548/using-dynamic-ip-restrictions/

例子：

如果您将条件设置为之后阻止 X requests in Y milliseconds 或者 X concurrent connections in Y milliseconds 该 IP 地址将被阻止 Y milliseconds 然后请求将再次被允许。

Answer 3

我们使用从这个 URL 借来的技术 http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx, ，不是为了节流，而是为了穷人的拒绝服务（D.O.S）。这也是基于缓存的，可能与您正在做的类似。您是否正在采取节流措施来防止 D.O.S.攻击？路由器当然可以用来减少 D.O.S；您认为路由器可以处理您需要的限制吗？