Как разрешать запросы в веб-Api?

Ответ 1

Кажется, вы запутались в фильтрах действий для ASP.NET MVC-контроллера и фильтров действий для ASP.NET-контроллера Web API. Это 2 совершенно разных класса:

• Для ASP.NET MVC: System.Web.Mvc.ActionFilterAttribute → что вы получили из ссылки
• Для веб-API ASP.NET: System.Web.Http.Filters.ActionFilterAttribute → то, что вам нужно реализовать

Похоже, что вы показали действие контроллера веб-API (которое объявлено внутри контроллера, полученного из ApiController). Поэтому, если вы хотите применить к нему настраиваемые фильтры, они должны быть получены из System.Web.Http.Filters.ActionFilterAttribute.

Итак, давайте продолжим и адаптируем код для веб-API:

public class ThrottleAttribute : ActionFilterAttribute
{
    /// <summary>
    /// A unique name for this Throttle.
    /// </summary>
    /// <remarks>
    /// We'll be inserting a Cache record based on this name and client IP, e.g. "Name-192.168.0.1"
    /// </remarks>
    public string Name { get; set; }

    /// <summary>
    /// The number of seconds clients must wait before executing this decorated route again.
    /// </summary>
    public int Seconds { get; set; }

    /// <summary>
    /// A text message that will be sent to the client upon throttling.  You can include the token {n} to
    /// show this.Seconds in the message, e.g. "Wait {n} seconds before trying again".
    /// </summary>
    public string Message { get; set; }

    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        var key = string.Concat(Name, "-", GetClientIp(actionContext.Request));
        var allowExecute = false;

        if (HttpRuntime.Cache[key] == null)
        {
            HttpRuntime.Cache.Add(key,
                true, // is this the smallest data we can have?
                null, // no dependencies
                DateTime.Now.AddSeconds(Seconds), // absolute expiration
                Cache.NoSlidingExpiration,
                CacheItemPriority.Low,
                null); // no callback

            allowExecute = true;
        }

        if (!allowExecute)
        {
            if (string.IsNullOrEmpty(Message))
            {
                Message = "You may only perform this action every {n} seconds.";
            }

            actionContext.Response = actionContext.Request.CreateResponse(
                HttpStatusCode.Conflict, 
                Message.Replace("{n}", Seconds.ToString())
            );
        }
    }
}

где метод GetClientIp исходит из this post.

Теперь вы можете использовать этот атрибут в действии контроллера веб-API.

Ответ 2

Предлагаемое решение неточно. Для этого существует не менее 5 причин.

• Кэш не обеспечивает блокировку управления между различными потоками, поэтому несколько запросов могут одновременно обрабатывать дополнительные вызовы, пропуская через дроссель.
• Фильтр обрабатывается "слишком поздно в игре" в конвейере веб-API, поэтому затрачивается много ресурсов, прежде чем вы решите, что запрос не должен обрабатываться. ДелегированиеHandler следует использовать, потому что его можно настроить для запуска в начале конвейера веб-API и прервать запрос перед выполнением дополнительной работы.
• Кэш Http - это зависимость, которая может быть недоступна с новыми режимами работы, такими как самообслуживаемые параметры. Лучше избегать этой зависимости.
• Кэш в приведенном выше примере не гарантирует его выживания между вызовами, поскольку он может быть удален из-за давления памяти, особенно с низким приоритетом.
• Хотя это не так уж плохо, настройка статуса ответа на "конфликт" не представляется лучшим вариантом. Вместо этого лучше использовать "429 - слишком много запросов".

Есть еще много проблем и скрытых препятствий для решения при реализации дросселирования. Есть свободные варианты с открытым исходным кодом. Например, я рекомендую посмотреть https://throttlewebapi.codeplex.com/.

Ответ 3

WebApiThrottle является настоящим чемпионом в этой области.

Это супер легко интегрировать. Просто добавьте следующее в App_Start\WebApiConfig.cs:

config.MessageHandlers.Add(new ThrottlingHandler()
{
    // Generic rate limit applied to ALL APIs
    Policy = new ThrottlePolicy(perSecond: 1, perMinute: 20, perHour: 200)
    {
        IpThrottling = true,
        ClientThrottling = true,
        EndpointThrottling = true,
        EndpointRules = new Dictionary<string, RateLimits>
        { 
             //Fine tune throttling per specific API here
            { "api/search", new RateLimits { PerSecond = 10, PerMinute = 100, PerHour = 1000 } }
        }
    },
    Repository = new CacheRepository()
});

Он доступен как нуджет с тем же именем.

Ответ 4

Я использую ThrottleAttribute, чтобы ограничить скорость вызова моего API отправки коротких сообщений, но я обнаружил, что он не работает иногда. API может быть вызван много раз, пока логика дроссельной заслонки не работает, наконец, я использую System.Web.Caching.MemoryCache вместо HttpRuntime.Cache, и проблема, похоже, решена.

if (MemoryCache.Default[key] == null)
{
    MemoryCache.Default.Set(key, true, DateTime.Now.AddSeconds(Seconds));
    allowExecute = true;
}

Ответ 5

Дважды проверьте операторы using в вашем фильтре действий. Когда вы используете контроллер API, убедитесь, что вы ссылаетесь на ActionFilterAttribute в System.Web.Http.Filters, а не на System.Web.Mvc.

using System.Web.Http.Filters;

Ответ 6

Мои 2 цента добавляют дополнительную информацию для "ключа" о запросе информации о параметрах, так что с одного и того же IP-адреса разрешен другой параметр.

key = Name + clientIP + actionContext.ActionArguments.Values.ToString()

Кроме того, моя небольшая забота о "clientIP", возможно ли, что два разных пользователя используют один и тот же ISP, имеет тот же "clientIP"? Если да, то один клиент меня задушит неправильно.