Posted on

痛点直击:攻击者不针对数据库,不针对服务器进程,而是专门针对 没有token校验接口发起海量请求。你的带宽先被打满,SpringBoot 连被访问的机会都没有。

如果你的 SpringBoot 项目正在遭受针对 Login 登录接口 的猛烈攻击,你会发现一个奇怪的现象:服务器 CPU 可能还没满,但 **带宽(出入流量)直接 100%**,导致正常用户无法访问,SSH 连不上,服务瘫痪。

这种攻击通常被称为 CC 攻击(Challenge Collapsar),是 DDoS 的一种应用层变种。对于这种攻击,千万别试图在 SpringBoot 代码里解决,必须在 Cloudflare (CF) 的边缘节点上将其拦截。

以下是针对 Login 接口被攻击的 “止血+加固” 全流程。

一、 紧急止血:Cloudflare 上的“战争迷雾”

image-20260601152334409

既然攻击者是通过域名攻击,我们必须利用 Cloudflare 的全球网络,在流量到达你的源站服务器之前,就把它们吃掉。

1. 开启 “Under Attack Mode”(正在被攻击模式)

这是 CF 的大招,虽然会影响一点用户体验,但能保住服务器。

image-20260601151121786

开启 Cloudflare Under Attack Mode(“5秒盾”)的步骤如下:

  1. 登录 Cloudflare 仪表板,选择对应域名。
  2. 点击顶部菜单 “Security”(安全)选项卡。
  3. 在 “Security Level” 下方找到 “Under Attack Mode” 开关,将其设为 “On”(变绿即生效)。
  4. 开启后,访客访问网站会弹出 JavaScript 质询页面(俗称“5秒盾”),需等待或完成验证才能进入。

⚠️ 注意:

  • 此模式仅在遭遇 DDoS/CC 攻击时临时启用,日常开启会降低正常用户体验(增加加载延迟)。
  • 需确保域名已通过 Cloudflare 接入(DNS 已代理,状态为橙色云朵)。
  • 免费计划支持该功能,但无法自定义质询页面内容(需 Enterprise 计划)。
  • 若需 API 自动化开启,可发送 PATCH 请求至 https://api.cloudflare.com/client/v4/zones/{zone_id}/settings/security_level,设置 value=under_attack(需 Global API Key 和 Zone ID)。

关闭时请手动切回“High”或默认安全等级,避免影响正常流量。

2. 针对 /login接口配置 WAF 速率限制(最关键)

image-20260601153234925

通用的限流不够,我们要对 login接口进行“精准打击”。

创建 WAF 自定义规则:

image-20260601153151841

  1. Create rate limiting rule(创建速率限制规则)

  2. Rule name(规则名)

    1
    Block Login Brute Force

    (随便写,能识别就行)

  3. When incoming requests match(匹配条件,精准锁定登录接口)

推荐用 表达式模式(Edit expression) 更精准Cloudflare:

1
http.request.uri.path eq "/api/auth/login" and http.request.method eq "POST"
  • /api/auth/login 换成你真实的登录接口路径
  • 只拦截 POST(登录一般都是 POST)Cloudflare
  1. With the same characteristics(按什么限流)

选:IP(源 IP)

含义:同一个 IP 才累计计数,完美防单 IP 暴力破解Cloudflare。

  1. When rate exceeds(限流阈值,你要的 “10 秒 10 次”)
  • Requests(次数)10
  • Period(时间窗口)10 seconds
  • Action(超限动作)
    • 测试期:选 Managed Challenge(人机验证),不误伤正常用户
    • 确认攻击:选 Block(直接拦截)Cloudflare
  1. 其他默认即可
  • 不需要开 “Count only specific responses”(新手先不开)
  • Save and Deploy(保存并部署)Cloudflare

效果:任何 IP 在 10 秒内请求 /login超过 10 次,直接被 Cloudflare 屏蔽。

3. 启用 Bot Fight Mode

image-20260601153817823

作用:自动识别并阻止已知的恶意机器人指纹,防止黑客使用常规的攻击工具扫描你的登录口。

二、 架构层:Nginx 兜底防护

即使 CF 拦住了 99%,剩下的 1% 也可能通过某种方式漏进来。我们需要在 Nginx 上再设一道关卡。

1. 限制登录接口的并发与速率

image-20260601154130955

不要限制全站,只限制登录接口,避免影响其他业务。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
http {
    # 定义一个名为 "login_limit" 的区域,限制每个 IP 每秒 1 个请求
    limit_req_zone $binary_remote_addr zone=login_limit:10m rate=1r/s;

    server {
        listen 443 ssl;
        server_name yourdomain.com;

        location = /login { # 精确匹配 login 接口
            # 应用限流,burst=5 表示允许突发 5 个请求,nodelay 表示超出的直接拒绝
            limit_req zone=login_limit burst=5 nodelay;
            
            # 限制连接数(可选)
            limit_conn perip 3; 
            
            proxy_pass http://your_springboot_app;
            # ... 其他代理配置
        }
    }
}
  • 注意:这里的 rate=1r/s非常严格,如果你们业务允许,可以调整为 5r/s

2. 封禁异常 UA 和空 Referer

很多攻击脚本不带浏览器标识。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
if ($request_uri ~* "/login") {
    if ($http_user_agent ~* "curl|wget|python|java|okhttp") {
        return 403;
    }
    # 如果是 POST 请求且 Referer 为空(常见于直接发包攻击)
    if ($request_method = POST) {
        set $block "";
        if ($http_referer = "") {
            set $block "${block}1";
        }
        if ($block = "1") {
            return 403;
        }
    }
}

三、 SpringBoot 代码层:防止“漏网之鱼”击穿数据库

当攻击流量穿透了 CF 和 Nginx,你的 SpringBoot 应用必须具备自我保护能力,防止数据库被打挂。

1. 登录接口防刷(Redis + 滑动窗口)

不要只依赖 Spring Security 的失败次数限制,那太重了。用 Redis 做轻量级限流。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
@Component
public class LoginLimitInterceptor implements HandlerInterceptor {

    @Autowired
    private StringRedisTemplate redisTemplate;

    private static final int MAX_ATTEMPTS = 5; // 最大尝试次数
    private static final int LOCK_TIME_MINUTES = 15; // 锁定时长

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String ip = request.getRemoteAddr(); // 注意:如果用了CF/Nginx,这里要取 X-Forwarded-For
        String key = "login:limit:" + ip;

        Long count = redisTemplate.opsForValue().increment(key, 1);
        if (count == 1) {
            // 设置过期时间,形成滑动窗口
            redisTemplate.expire(key, LOCK_TIME_MINUTES, TimeUnit.MINUTES);
        }

        if (count > MAX_ATTEMPTS) {
            response.setStatus(429); // Too Many Requests
            response.getWriter().write("Too many login attempts, please try again later.");
            return false;
        }
        return true;
    }
}

2. 强制验证码(CAPTCHA)

当检测到某 IP 登录失败次数过多时,强制弹出验证码。

-

推荐:使用 Google reCAPTCHA v3(无感验证)或 极验(Geetest)

-

逻辑:在 Controller 中,如果 Redis 记录该 IP 失败次数 > 3,要求前端必须携带验证码 token 才能提交登录。

3. 账户锁定机制

在 Spring Security 中配置:

1
2
3
4
5
6
7
8
9
10
11
12
@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .sessionManagement()
            .maximumSessions(1) // 限制同一账号只能一处登录
            .maxSessionsPreventsLogin(true);
}

并且数据库设计上要有 account_non_locked字段,连续输错密码 N 次,锁定账户 15 分钟。

四、 总结:Login 接口防御清单

层级 防御手段 核心目的
Cloudflare Under Attack Mode 瞬间挡住脚本流量,争取配置时间
Cloudflare WAF Rate Limiting (针对 /login) 精准限制登录频率,这是最有效的手段
Nginx limit_req (1r/s) 防止 CF 规则失效后的最后兜底
SpringBoot Redis 防刷 + 验证码 防止攻击绕过代理直接打源站
系统 仅允许 CF IP 访问 让黑客找不到你的真实服务器

最后叮嘱

黑客攻击登录接口往往是为了撞库(暴力破解密码)。除了限流,务必开启 Spring Security 的密码加密(BCrypt),并定期提醒用户修改弱密码。只要你的登录接口响应够慢(因为限流)且密码足够复杂,黑客很快就会失去耐心转战下一个目标。

Posted on

在两个Spring Boot项目中集成RabbitMQ,实现可靠的消息生产与消费。我们将使用Docker快速搭建RabbitMQ环境,并构建一个完整可用的消息队列系统。

一、快速搭建RabbitMQ环境

首先,我们使用Docker一键部署RabbitMQ服务:

1
2
3
4
5
6
7
8
9
10
docker run -d \
  -p 15672:15672 \
  -p 5672:5672 \
  --restart=always \
  -e RABBITMQ_DEFAULT_USER=admin \
  -e RABBITMQ_DEFAULT_PASS=admin \
  --name rabbitmq \
  --network=1panel-network \
  --hostname=rabbitmqhost \
  rabbitmq:management

参数说明:

  • -p 15672:15672:管理界面端口
  • -p 5672:5672:消息通信端口
  • --restart=always:容器自动重启
  • -e:环境变量,设置默认账号密码
  • --network:指定网络(使用1panel-network)
  • rabbitmq:management:带Web管理界面的版本

启动后访问:http://localhost:15672,使用admin/admin登录即可看到管理界面。

二、项目依赖配置

1. 添加Maven依赖

在两个Spring Boot项目的pom.xml中添加:

1
2
3
4
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-amqp</artifactId>
</dependency>

2. 统一配置文件

在两个项目的application.yml中配置RabbitMQ连接:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
spring:
  rabbitmq:
    host: localhost          # RabbitMQ服务器地址
    port: 5672               # 消息通信端口
    username: admin          # 管理界面设置的用户名
    password: admin          # 密码
    virtual-host: /          # 虚拟主机
    # 生产者确认配置
    publisher-confirm-type: correlated
    publisher-returns: true
    
    listener:
      simple:
        acknowledge-mode: auto  # 自动确认
        prefetch: 10            # 每次预取消息数
        concurrency: 3          # 最小并发消费者
        max-concurrency: 10     # 最大并发消费者

三、生产者服务设计

1. RabbitMQ配置类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
@Configuration
public class RabbitMQConfig {
    
    // 交换机和队列常量定义
    public static final String DEMO_EXCHANGE = "demo.direct.exchange";
    public static final String DEMO_QUEUE = "demo.message.queue";
    public static final String DEMO_ROUTING_KEY = "demo.routing.key";
    
    // 创建直连交换机
    @Bean
    public DirectExchange demoExchange() {
        return ExchangeBuilder
                .directExchange(DEMO_EXCHANGE)
                .durable(true)      // 持久化
                .build();
    }
    
    // 创建消息队列
    @Bean
    public Queue demoQueue() {
        return QueueBuilder
                .durable(DEMO_QUEUE)
                .withArgument("x-dead-letter-exchange", "")  // 死信交换机
                .withArgument("x-dead-letter-routing-key", "demo.dlq")
                .build();
    }
    
    // 绑定队列到交换机
    @Bean
    public Binding demoBinding() {
        return BindingBuilder
                .bind(demoQueue())
                .to(demoExchange())
                .with(DEMO_ROUTING_KEY);
    }
    
    // JSON消息转换器
    @Bean
    public MessageConverter jsonMessageConverter() {
        return new Jackson2JsonMessageConverter();
    }
}

2. 生产者服务实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
@Service
@Slf4j
public class MessageProducerService {
    
    @Autowired
    private RabbitTemplate rabbitTemplate;
    
    @Autowired
    private RabbitMQConfig rabbitMQConfig;
    
    /**
     * 发送简单文本消息
     */
    public boolean sendTextMessage(String content) {
        try {
            rabbitTemplate.convertAndSend(
                rabbitMQConfig.DEMO_EXCHANGE,
                rabbitMQConfig.DEMO_ROUTING_KEY,
                content
            );
            log.info("消息发送成功: {}", content);
            return true;
        } catch (Exception e) {
            log.error("消息发送失败: {}", content, e);
            return false;
        }
    }
    
    /**
     * 发送对象消息(自动JSON序列化)
     */
    public void sendObjectMessage(MessageDTO messageDTO) {
        CorrelationData correlationData = new CorrelationData();
        correlationData.setId(UUID.randomUUID().toString());
        
        rabbitTemplate.convertAndSend(
            rabbitMQConfig.DEMO_EXCHANGE,
            rabbitMQConfig.DEMO_ROUTING_KEY,
            messageDTO,
            message -> {
                // 设置消息属性
                message.getMessageProperties().setMessageId(correlationData.getId());
                message.getMessageProperties().setTimestamp(new Date());
                message.getMessageProperties().setContentType("application/json");
                return message;
            },
            correlationData
        );
        
        log.info("对象消息发送完成,消息ID: {}", correlationData.getId());
    }
    
    /**
     * 带有确认回调的消息发送
     */
    @PostConstruct
    public void initConfirmCallback() {
        // 消息发送到Exchange确认回调
        rabbitTemplate.setConfirmCallback((correlationData, ack, cause) -> {
            if (ack) {
                log.info("消息到达Exchange成功,消息ID: {}", correlationData.getId());
            } else {
                log.error("消息到达Exchange失败,消息ID: {},原因: {}", 
                         correlationData.getId(), cause);
            }
        });
        
        // 消息路由到Queue失败回调
        rabbitTemplate.setReturnsCallback(returned -> {
            log.error("消息路由到队列失败: {}", returned.getMessage());
        });
    }
}

3. REST API接口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
@RestController
@RequestMapping("/api/message")
@Slf4j
public class MessageController {
    
    @Autowired
    private MessageProducerService producerService;
    
    @PostMapping("/send")
    public ResponseEntity<?> sendMessage(@RequestBody MessageRequest request) {
        boolean result = producerService.sendTextMessage(request.getContent());
        
        if (result) {
            return ResponseEntity.ok(
                ResponseResult.success("消息发送成功")
            );
        } else {
            return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR)
                .body(ResponseResult.error("消息发送失败"));
        }
    }
    
    @PostMapping("/send-object")
    public ResponseEntity<?> sendObjectMessage(@RequestBody MessageDTO messageDTO) {
        try {
            producerService.sendObjectMessage(messageDTO);
            return ResponseEntity.ok(
                ResponseResult.success("对象消息发送成功")
            );
        } catch (Exception e) {
            log.error("发送对象消息异常", e);
            return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR)
                .body(ResponseResult.error("对象消息发送失败"));
        }
    }
}

四、消费者服务设计

1. 消费者服务实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
@Component
@Slf4j
public class MessageConsumerService {
    
    /**
     * 监听队列消息 - 自动确认模式
     */
    @RabbitListener(
        queues = RabbitMQConfig.DEMO_QUEUE,
        concurrency = "3-10"  // 动态调整消费者数量
    )
    public void handleMessage(String message) {
        log.info("消费者[{}]收到消息: {}", 
                Thread.currentThread().getName(), message);
        
        try {
            // 模拟业务处理
            processBusinessLogic(message);
            log.info("消息处理完成: {}", message);
        } catch (Exception e) {
            log.error("处理消息失败: {}", message, e);
            // 异常时根据策略决定是否重新入队
            throw new AmqpRejectAndDontRequeueException("处理失败,不重新入队");
        }
    }
    
    /**
     * 监听对象消息
     */
    @RabbitListener(queues = RabbitMQConfig.DEMO_QUEUE)
    public void handleObjectMessage(MessageDTO messageDTO) {
        log.info("收到对象消息: ID={}, Content={}", 
                messageDTO.getId(), messageDTO.getContent());
        
        // 处理对象消息
        // ...
    }
    
    /**
     * 手动ACK模式 - 更精确的控制
     */
    @RabbitListener(queues = RabbitMQConfig.DEMO_QUEUE)
    public void handleMessageWithAck(
            Message message, 
            Channel channel) throws IOException {
        
        long deliveryTag = message.getMessageProperties().getDeliveryTag();
        
        try {
            String msgBody = new String(message.getBody());
            log.info("处理消息(手动ACK): {}", msgBody);
            
            // 业务处理
            boolean success = processBusinessLogic(msgBody);
            
            if (success) {
                // 确认消息
                channel.basicAck(deliveryTag, false);
                log.info("消息确认成功: {}", deliveryTag);
            } else {
                // 拒绝消息,不重新入队
                channel.basicNack(deliveryTag, false, false);
                log.warn("消息处理失败,已拒绝: {}", deliveryTag);
            }
            
        } catch (Exception e) {
            log.error("处理消息异常,消息ID: {}", deliveryTag, e);
            // 异常时拒绝消息
            channel.basicNack(deliveryTag, false, false);
        }
    }
    
    private void processBusinessLogic(String message) {
        // 实际业务逻辑处理
        // 这里可以调用其他Service进行业务处理
        log.debug("处理业务逻辑: {}", message);
        
        // 模拟处理耗时
        try {
            Thread.sleep(100);
        } catch (InterruptedException e) {
            Thread.currentThread().interrupt();
        }
    }
}

2. 死信队列配置(处理失败消息)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
@Configuration
public class DeadLetterConfig {
    
    public static final String DLX_EXCHANGE = "demo.dlx.exchange";
    public static final String DLQ_QUEUE = "demo.dlq.queue";
    public static final String DLQ_ROUTING_KEY = "demo.dlq";
    
    // 死信交换机
    @Bean
    public DirectExchange dlxExchange() {
        return new DirectExchange(DLX_EXCHANGE);
    }
    
    // 死信队列
    @Bean
    public Queue dlqQueue() {
        return QueueBuilder.durable(DLQ_QUEUE).build();
    }
    
    // 绑定死信队列
    @Bean
    public Binding dlqBinding() {
        return BindingBuilder.bind(dlqQueue())
                .to(dlxExchange())
                .with(DLQ_ROUTING_KEY);
    }
}

3. 死信队列消费者

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
@Component
@Slf4j
public class DeadLetterConsumer {
    
    @RabbitListener(queues = DeadLetterConfig.DLQ_QUEUE)
    public void handleDeadLetter(Message failedMessage) {
        log.error("收到死信消息: {}", new String(failedMessage.getBody()));
        log.error("原始路由Key: {}", failedMessage.getMessageProperties().getReceivedRoutingKey());
        log.error("失败原因: {}", failedMessage.getMessageProperties().getHeader("x-death"));
        
        // 这里可以实现死信消息的处理逻辑
        // 1. 记录到数据库
        // 2. 发送告警通知
        // 3. 人工干预处理
    }
}

五、业务实体定义

消息传输对象

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
@Data
@NoArgsConstructor
@AllArgsConstructor
public class MessageDTO implements Serializable {
    
    private String id;
    private String content;
    private String messageType;
    private Date createTime;
    private Map<String, Object> extraParams;
    
    public MessageDTO(String content) {
        this.id = UUID.randomUUID().toString();
        this.content = content;
        this.createTime = new Date();
        this.extraParams = new HashMap<>();
    }
}

API请求响应对象

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
@Data
public class MessageRequest {
    private String content;
    private String type;
}

@Data
public class ResponseResult<T> {
    private Integer code;
    private String message;
    private T data;
    
    public static <T> ResponseResult<T> success(T data) {
        ResponseResult<T> result = new ResponseResult<>();
        result.setCode(200);
        result.setMessage("success");
        result.setData(data);
        return result;
    }
    
    public static ResponseResult<?> success(String message) {
        ResponseResult<?> result = new ResponseResult<>();
        result.setCode(200);
        result.setMessage(message);
        return result;
    }
}

六、测试验证

1. 发送消息测试

使用Postman或curl测试生产者API:

1
2
3
4
5
6
7
8
9
# 发送文本消息
curl -X POST http://localhost:8080/api/message/send \
  -H "Content-Type: application/json" \
  -d '{"content":"Hello RabbitMQ"}'

# 发送对象消息
curl -X POST http://localhost:8080/api/message/send-object \
  -H "Content-Type: application/json" \
  -d '{"content":"测试消息","messageType":"ORDER","extraParams":{"orderId":"123456"}}'

2. 监控管理

访问RabbitMQ管理界面:http://localhost:15672

在这里可以:

  • 查看队列消息堆积情况
  • 监控消费者连接
  • 手动管理队列(清除、删除等)
  • 查看消息流量统计

七、生产环境建议

1. 连接池配置

1
2
3
4
5
6
7
8
9
spring:
  rabbitmq:
    connection-timeout: 5000      # 连接超时时间
    cache:
      channel:
        size: 25                  # 通道缓存大小
      connection:
        mode: connection          # 连接模式
        size: 5                   # 连接池大小

2. 高可用配置

1
2
3
spring:
  rabbitmq:
    addresses: rabbit1:5672,rabbit2:5672,rabbit3:5672  # 集群地址

3. 消息可靠性保障

  • 生产者确认:确保消息到达Exchange
  • 持久化:队列、消息都设置为持久化
  • 消费者ACK:处理成功后才确认消息
  • 死信队列:处理失败的消息
  • 消息幂等:消费者端实现幂等处理

八、总结

通过本文的完整实现,我们构建了一个生产可用的RabbitMQ消息队列系统,具备以下特点:

  1. 快速部署:Docker一键部署RabbitMQ
  2. 完整集成:Spring Boot完美整合
  3. 可靠传输:支持生产者确认、消息持久化
  4. 灵活消费:支持自动/手动ACK、并发控制
  5. 容错处理:死信队列机制
  6. 易于监控:Web管理界面实时监控

这个方案可以广泛应用于:

  • 订单处理异步化
  • 日志收集与分析
  • 系统解耦
  • 流量削峰填谷
  • 数据同步等场景

希望这篇实战指南能帮助你在项目中顺利集成RabbitMQ!如果有任何问题,欢迎在评论区讨论。

Posted on

image-20260127160905820

看到这个错误信息,第一反应可能是数据库连接池出问题了,但实际上 “Thread starvation or clock leap detected” 是一个典型的“系统健康状况”报警。

数据库 housekeeper 线程延迟了 41 分钟(delta=41m37s),这意味着在长达 41 分钟的时间里,HikariCP 的管理线程完全没有机会执行。

1. 深度复盘:41 分钟到底发生了什么?

在 8核 16G 的高性能服务器上,出现秒级的延迟尚可理解,但 41 分钟的停滞通常指向以下三个非代码层面的原因:

  • 系统进入休眠(最常见于开发环境): 如果你在本地 Docker 运行应用,电脑进入睡眠模式,系统时钟会暂停。唤醒后,HikariCP 发现时间“跳变”了,便会发出警报。
  • 云服务器 CPU 积分耗尽: 如果使用突发型实例(如 AWS t系列、阿里 t系列),积分耗尽后 CPU 会被强制压制到极低性能,应用几乎处于“封印”状态。
  • 严重的 Stop-The-World (STW) GC: 由于未限制 JVM 内存,Java 8 可能会因为申请不到物理内存而频繁触发超长 Full GC,或者在 Swap(交换分区)中挣扎。

2. 诊断你的配置瓶颈

通过分析你之前的配置,我们发现了几个“不匹配”的风险点:

模块 当前痛点 风险
JVM 未指定 -Xmx Java 8 在 Docker 中会误判内存,导致 OOM 或频繁 Full GC。
Undertow Worker 线程 (200) 过多 线程上下文切换开销大,且远超数据库连接池处理能力。
Undertow Buffer Size (1024) 太小 高并发下 I/O 吞吐量受限。
HikariCP 连接池 (5~20) 动态伸缩 频繁创建/销毁连接会产生性能抖动,建议固定大小。

3. 生产级优化方案 (8核 16G 环境)

3.1 优化 Dockerfile:赋予 JVM “超能力”

不要让 Java 盲目猜测内存。针对 16G 宿主机,我们分配 8G 堆内存,并启用更适合大内存的 G1 垃圾回收器

Dockerfile

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
FROM amazoncorretto:8
LABEL maintainer="Ray"

# 设置时区
ENV TZ=Asia/Shanghai
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

COPY boot-stock.jar app.jar

# 关键:显式指定内存与 GC 策略
ENTRYPOINT ["java", \
            "-Xms8g", \
            "-Xmx8g", \
            "-XX:+UseG1GC", \
            "-XX:MaxGCPauseMillis=200", \
            "-Djava.security.egd=file:/dev/./urandom", \
            "-jar", \
            "/app.jar"]

EXPOSE 8080

3.2 优化 YAML:平衡 Web 与 数据库

将 Undertow 的处理能力与 HikariCP 的承受能力相匹配,避免“交通拥堵”。

YAML

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
server:
  undertow:
    threads:
      io: 8           # 匹配 CPU 核心数
      worker: 128     # 适度调低,减少上下文切换
    buffer-size: 16384 # 提升至 16KB
    direct-buffers: true

spring:
  datasource:
    hikari:
      pool-name: DatebookHikariCP
      # 8核环境建议连接池设为核心数的 4 倍左右,并保持固定
      minimum-idle: 32
      maximum-pool-size: 32
      auto-commit: true
      idle-timeout: 30000
      max-lifetime: 1800000 # 30分钟
      connection-timeout: 30000
      # 现代驱动不再建议使用 connection-test-query

4. 终极排查清单

如果优化配置后,报错依然存在且 delta 依然巨大,请执行以下操作:

  1. 排查宿主机状态: 执行 top 命令查看 %st (Steal Time)。如果该值很高,说明你的云服务商在限制你的 CPU。
  2. 监控 GC 情况: 在容器内运行 jstat -gcutil <pid> 1000,观察 FGC(Full GC 次数)和 FGCT(Full GC 总时间)。
  3. 检查 Docker 限制: 确保 Docker 启动命令中没有设置过小的 --memory 限制(例如只给了容器 512MB,但你 JVM 却想申请 8GB)。

结语

“Thread starvation”通常是系统资源告急的求救信号。通过固定连接池大小合理限制 JVM 堆内存以及选择现代 GC 算法,你可以规避 90% 的性能抖动。

Posted on

这是一篇关于 Tomcat 与 Undertow 对比的文档,并附带了 Undertow 的使用教程

🚀 Tomcat 对比 Undertow:高性能 Web 服务器的选择

Apache Tomcat 和 Undertow 都是流行的 Java Servlet 容器Web 服务器,它们在 Java 生态系统中扮演着关键角色。然而,它们在设计哲学、性能和功能集上有所不同。

主要特点对比

特性 Apache Tomcat Undertow 优势/特点
项目成熟度 非常高 相对较新(由 JBoss/Red Hat 开发) Tomcat 更加成熟、稳定,社区支持广泛。
设计核心 基于 传统线程模型I/O 模型 基于 NIO (Non-blocking I/O)事件驱动 Undertow 在高并发场景下通常有更好的性能和更低的资源消耗。
资源占用 相对较高(尤其在高并发下) 相对较低 Undertow 设计精简,启动快,内存占用少。
模块化 模块化程度适中 高度模块化,设计灵活 Undertow 可以作为独立的 Web 服务器或嵌入到应用程序中,灵活性更高。
嵌入式使用 良好 优秀 Undertow 在 Spring Boot 或其他微服务框架中作为嵌入式容器表现突出。
WebSockets 支持 良好 原生,高性能 Undertow 的设计使其在处理 WebSockets 和 HTTP/2 等新协议时表现出色。
稳定性/可靠性 极高 优秀 Tomcat 经过多年生产环境验证,可靠性是其最大的优势之一。

🔍 总结与选择建议

  • 选择 Tomcat: 如果你的应用需要极高的稳定性广泛的社区支持,或者你的环境是传统的 Java EE/Servlet 部署模式,并且对极高并发要求不苛刻,Tomcat 是一个安全且可靠的选择。
  • 选择 Undertow: 如果你的应用是一个微服务Spring Boot 应用,追求极致的性能低资源消耗,以及高并发处理能力,特别是需要充分利用 NIO/事件驱动 的优势时,Undertow 是一个优秀的、现代化的替代品。

🛠️ Undertow 使用教程:嵌入式部署(Maven + Spring Boot)

Undertow 最大的优点之一是它作为 嵌入式容器 的卓越性能和简易性。在现代 Java 开发中,尤其是在使用 Spring Boot 时,切换到 Undertow 非常简单。

1. 创建 Maven 项目

确保你的项目是一个标准的 Spring Boot 应用,并使用 MavenGradle 进行构建。

2. 移除默认的 Tomcat 依赖

在 Spring Boot 的 pom.xml 文件中,默认的 spring-boot-starter-web 会引入 Tomcat。你需要排除它,然后显式地引入 Undertow。

pom.xml 配置 (Maven)

找到 spring-boot-starter-web 依赖,并添加 <exclusions> 标签来排除 Tomcat:

1
2
3
4
5
6
7
8
9
10
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-tomcat</artifactId>
        </exclusion>
    </exclusions>
</dependency>

3. 引入 Undertow 依赖

pom.xml 中添加 spring-boot-starter-undertow 依赖:

1
2
3
4
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-undertow</artifactId>
</dependency>

4. 运行应用

完成上述步骤后,你的 Spring Boot 应用在启动时就会自动检测并使用 Undertow 作为其内置的 Web 服务器,而不是默认的 Tomcat。

5. 配置文件进阶(可选)

你可以通过 Spring Boot 的 application.propertiesapplication.yml 文件来配置 Undertow 的线程池大小等参数,以进行性能调优。

application.properties 示例

1
2
3
4
5
6
7
8
# 设定 Undertow 的 I/O 线程数 (通常等于CPU核心数)
server.undertow.threads.io=4

# 设定工作线程数 (处理请求的线程)
server.undertow.threads.worker=200

# 设定缓冲区大小
server.undertow.buffer-size=1024

通过以上简单的配置,你就可以在 Spring Boot 应用中轻松地从 Tomcat 切换到高性能的 Undertow 服务器。

PS: 该内容由Gemini生成

Posted on

微信小程序在 iOS 设备上引用字体正常,但在 安卓 设备上无法加载时,通常由 Nginx 配置问题导致。以下是具体解决方案:

Nginx配置调整

  1. 添加跨域权限
    在Nginx配置文件中,针对字体文件(如.woff.ttf等)的请求头添加跨域权限设置:

    1
    2
    3
    4
    5
    6
    7
    # 字体文件跨域设置
      location ~* \.(ttf|woff|woff2)$ {
          add_header Access-Control-Allow-Origin *;
          expires      30d;
          error_log /dev/null;
          access_log /dev/null;
      }

  2. 设置响应头参数
    确保响应包含以下头部信息:

    • Access-Control-Allow-Origin: *(允许所有来源跨域)
    • Cache-Control: no-cache(禁用缓存) ‌

  3. 清理小程序缓存
    若配置完成后仍无法生效,需在微信开发者工具中清理小程序缓存后重新测试。 ‌

  4. 完整配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
server
{
    listen 80;
    listen 443 ssl http2 ;
    server_name img.**.ruiyeclub.cn;
    index index.html index.htm default.htm default.html;
    root /www/wwwroot/img.**.ruiyeclub.cn;

    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
    include /www/server/panel/vhost/rewrite/html_img.**.ruiyeclub.cn.conf;
    #REWRITE-END

    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.env|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }

    #一键申请SSL证书验证目录相关设置
    location ~ \.well-known{
        allow all;
    }

    #禁止在证书验证目录放入敏感文件
    if ( $uri ~ "^/\.well-known/.*\.(php|jsp|py|js|css|lua|ts|go|zip|tar\.gz|rar|7z|sql|bak)$" ) {
        return 403;
    }

    # 字体文件跨域设置
    location ~* \.(ttf|woff|woff2)$ {
        add_header Access-Control-Allow-Origin *;
        expires      30d;
        error_log /dev/null;
        access_log /dev/null;
    }

    location ~ .*\\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        add_header Cache-Control "public, max-age=31536000"; #my 设置静态资源的缓存时间为1年(单位:秒)

        expires      30d;
        error_log /dev/null;
        access_log /dev/null;
    }

    location ~ .*\\.(js|css)?$
    {
        expires      12h;
        error_log /dev/null;
        access_log /dev/null;
    }
    access_log  /www/wwwlogs/img.**.ruiyeclub.cn.log;
    error_log  /www/wwwlogs/img.**.ruiyeclub.cn.error.log;
}

注意事项

  • 字体文件路径需与配置一致,例如存放在/www/wwwroot/***/public/static目录下。 ‌
  • 不同品牌安卓手机对跨域策略的兼容性存在差异,部分机型需额外配置域名白名单或业务域名。

Posted on

📝记录一下,尽管使用了同步锁甚至是分布式锁还是查询并发问题的情况。

对同一条数据进行”查询状态->更新状态”操作时,出现多次更新状态。

这个是我业务代码:

1
2
3
4
5
6
7

@Transactional(rollbackFor = Exception.class)
public void update(Long modelId) throws GseException {
    synchronized (this) {
        //业务逻辑代码
    }
}

使用redis分布式锁的代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

@Transactional(rollbackFor = Exception.class)
public void update(Long modelId) throws GseException {
    RLock lock = redissonClient.getLock(REDIS_COST_MODEL_ID_LOCK + modelId);
    try {
        if (lock.tryLock(20, 2, TimeUnit.SECONDS)) {
            //业务逻辑代码
        } else {
            log.error("获取分布式锁失败");
        }
    } catch (InterruptedException e) {
        throw new RuntimeException(e);
    } finally {
        // 判断当前线程是否持有锁
        if (lock.isHeldByCurrentThread()) {
            //释放当前锁
            lock.unlock();
        }
    }
}

一、存在的问题以及原因

问题就是以上两种写法都没有生效,但是为什么呢? 在解释这个问题之前,我们首先要弄清楚两个问题:

  1. @Transactional的底层实现原理,开启事务和提交事务的时机是什么?

  2. 分布式锁,和本地锁机制释放锁的时机是什么时候?3.1 @Transactional的底层实现原理,开启事务和提交事务的时机是什么?

它的底层实现原理主要依赖于 Spring 的面向切面编程(AOP)机制。 底层实现原理

  • AOP 代理:当一个类或方法被 @Transactional 注解标记时,Spring 容器在初始化 Bean 时会检测到这个注解。对于使用 Spring
    的代理模式(如 JDK 动态代理或 CGLIB),Spring 会为该 Bean
    创建一个代理对象。这个代理对象会在调用实际方法前后插入事务管理相关的代码,即在方法执行前开启事务,在方法执行完毕后根据执行情况提交或回滚事务。
  • 解析注解:Spring 通过扫描 Bean 定义,识别出带有 @Transactional 注解的方法或类,并配置相应的事务属性,如传播行为、隔离级别、超时时间、是否只读等。
  • 事务拦截器:Spring 使用 AOP 机制中的拦截器(Interceptor)或Advice(通常为 TransactionInterceptor 或 AspectJ
    的切面),在方法调用前后织入事务处理逻辑。在方法调用前,根据事务属性设置事务的开始;在方法正常结束时提交事务,如果方法抛出未检查异常(继承自
    RuntimeException 的异常)或已检查异常(被 @Transactional 的 rollbackFor 属性指定的异常)则回滚事务。

开启事务和提交事务的时机

  • 开启事务:事务通常在进入被 @Transactional 注解的方法之前立即开始。这意味着在执行业务逻辑之前,Spring
    会确保与当前环境匹配的事务上下文已经建立。这包括选择合适的事务管理器,根据事务属性配置事务的隔离级别、传播行为等,并在数据库中实际开启事务。
  • 提交事务:如果被注解的方法正常执行结束,没有抛出任何异常,Spring 会在离开该方法之前提交事务
    。提交事务意味着将所有挂起的更改永久化到数据库中,使事务中的所有操作对外可见。
  • 回滚事务:如果在被注解的方法执行过程中抛出了异常,并且该异常未被 @Transactional 的 noRollbackFor 属性豁免,Spring
    将在捕获到异常后立即回滚事务,撤销所有在事务中已完成但未提交的操作,保持数据的一致性。

二、分布式锁,和本地锁机制释放锁的时机是什么时候?

答案是:本地锁,如果是synchronized,看你包裹起来的范围。Lock的话 看你手动释放锁的时候。 分布式锁:看你手动释放锁的时候。

那么造成问题的原因就出来了,如下图:

5b139d52fdd74a7f81d6455270c34e5f~tplv-73owjymdk6-jj-mark-v1_0_0_0_0_5o6Y6YeR5oqA5pyv56S-5Yy6IEAgd3Vr_q75

也就是说最终提交事务和释放锁的顺序有问题,按照上面的代码写法,因为当只有方法执行完了,AOP切面才会提交事务,那么如果你将上锁的代码写到被@Transactional注解的方法里面,那么提交事务永远都会处于释放锁之后,那么在释放锁之后,提交事务之前的这段时间,就会有并发问题。

三、正确的写法

  1. 本地锁
1
2
3
4
5
6
7
8
9
10
11
12
   public void addLock(Long modelId) throws GseException {
    synchronized (this) {
        update(modelId);
    }
}

@Transactional(rollbackFor = Exception.class)
public void xxxCopy(Long modelId) throws GseException {
    synchronized (this) {
        //业务逻辑代码
    }
}
  1. 分布式锁
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
public void addLock(Long modelId) throws GseException {
  RLock lock = redissonClient.getLock(REDIS_COST_MODEL_ID_LOCK + modelId);
  try {
      if (lock.tryLock(20, 2, TimeUnit.SECONDS)) {
          update(modelId);
      } else {
          log.error("获取分布式锁失败");
      }
  } catch (InterruptedException e) {
      throw new RuntimeException(e);
  } finally {
      // 判断当前线程是否持有锁
      if (lock.isHeldByCurrentThread()) {
          //释放当前锁
          lock.unlock();
      }
  }
}

@Transactional(rollbackFor = Exception.class)
public void update(Long modelId) throws GseException {
    synchronized (this) {
        //业务逻辑代码
    }
}

这样的写法,成功避免了并发问题,被@Transactional注解的方法,在执行完毕以后,就会提交事务,然后到了调用方法里面,再去释放锁。

四、使用悲观锁和乐观锁

问题分析

  1. 请求A:查询状态 → 符合条件 → 更新状态(但数据库卡顿,更新缓慢)
  2. 请求B:在A完成前查询状态 → 看到的状态未被修改 → 也执行更新

这会导致:

  • 数据不一致(如重复扣减库存)
  • 业务逻辑错误(如订单重复支付)
  • 资源超用(如优惠券被多个用户同时使用)

解决方案

  1. 事务 + SELECT FOR UPDATE(推荐)

在事务中使用SELECT FOR UPDATE锁定行,确保更新操作的原子性:

1
2
3
4
5
6
7
8
9
10
11
12
13

@Transactional
public void updateWithLock(Long id) {
    // 使用SELECT FOR UPDATE锁定行
    MyData data = myDataMapper.selectForUpdate(id);

    // 检查状态
    if (data.getStatus() == TARGET_STATUS) {
        // 执行更新
        data.setStatus(NEW_STATUS);
        myDataMapper.update(data);
    }
}

SQL映射:

1
2
3
4
<!-- 使用FOR UPDATE锁定行 -->
<select id="selectForUpdate" resultType="MyData">
    SELECT * FROM my_table WHERE id = #{id} FOR UPDATE
</select>
  1. 乐观锁(使用版本号)

添加版本号字段,每次更新检查版本号:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public boolean updateWithVersion(Long id) {
    MyData data = myDataMapper.findById(id);

    if (data.getStatus() != TARGET_STATUS) {
        return false;
    }

    // 带版本号的更新
    int rows = myDataMapper.updateWithVersion(
            id,
            NEW_STATUS,
            data.getVersion(),  // 当前版本
            data.getVersion() + 1 // 新版本
    );

    return rows > 0;
}

SQL映射:

1
2
3
4
5
6
7
<update id="updateWithVersion">
UPDATE my_table
SET status = #{newStatus},
version = #{newVersion}
WHERE id = #{id}
AND version = #{oldVersion}
</update>

参考文章:记录一次Redisson使用synchronized和分布式锁不生效的原因
参考文章:悲观锁、乐观锁、mybatis-plus实现乐观锁

Posted on

要在 Docker 中安装并运行 Nacos 服务器并使用 MySQL 作为其数据库,您可以遵循以下步骤。Nacos 是一个更易于构建云原生应用的动态服务发现、配置和服务管理平台,它支持多种数据库作为其存储后端,包括 MySQL。

步骤 1: 安装 Docker

确保您的系统上已安装 Docker。您可以通过以下命令检查 Docker 是否已安装:

1
docker --version

如果未安装,请访问 Docker 官网 获取安装指南。

步骤 2: 启动 MySQL 容器

首先,您需要运行一个 MySQL 容器。可以使用官方的 MySQL 镜像。创建一个名为 nacos-mysql 的容器,并为它设置一些环境变量,例如 root 用户的密码和数据库名:

1
docker run --name nacos-mysql -e MYSQL_ROOT_PASSWORD=root -p 3306:3306 -d mysql:5.7

这条命令会启动一个 MySQL 5.7 容器,root 密码设置为 root,并且将容器的 3306 端口映射到宿主机的 3306 端口。

步骤 3: 创建 Nacos 所需的数据库和用户

登录到 MySQL 容器中,并创建一个数据库和用户供 Nacos 使用:

1
docker exec -it nacos-mysql mysql -uroot -p

输入密码后,执行以下 SQL 命令:

1
CREATE DATABASE nacos DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;CREATE USER 'nacos'@'%' IDENTIFIED BY 'nacos';GRANT ALL PRIVILEGES ON nacos.* TO 'nacos'@'%';FLUSH PRIVILEGES;EXIT;

步骤 4: 拉取并运行 Nacos 容器

接下来,拉取 Nacos 的官方 Docker 镜像并运行它,指定使用 MySQL 作为存储:

1
docker run --name nacos -e MODE=standalone -e MYSQL_SERVICE_HOST=nacos-mysql -e MYSQL_SERVICE_PORT=3306 -e MYSQL_SERVICE_DB_NAME=nacos -e MYSQL_SERVICE_USER=nacos -e MYSQL_SERVICE_PASSWORD=nacos -p 8848:8848 -d nacos/nacos-server:latest

这条命令会启动一个 Nacos 容器,配置为使用上面创建的 MySQL 数据库。MYSQL_SERVICE_HOST 应与 MySQL 容器的名称相同(这里是 nacos-mysql),而 MYSQL_SERVICE_PORT 是 MySQL 容器的端口(这里是 3306)。确保这些值与您在步骤 2 中设置的相匹配。

步骤 5: 验证 Nacos 是否正常运行

打开浏览器,访问 http://localhost:8848/nacos,默认用户名和密码都是 nacos。如果一切设置正确,您应该能够看到 Nacos 的管理界面。

通过以上步骤,您就可以在 Docker 中成功安装并运行 Nacos 服务器,使用 MySQL 作为其存储后端了。

Posted on

在Docker环境中,容器间的通信是构建微服务架构的基础。使用容器名称进行连接相比直接使用IP地址具有显著优势。

一、为什么需要使用容器名称连接?

  1. IP地址不稳定性问题
    • 容器每次重启可能获得不同的IP地址(容器启动时会从子网中动态获取可用IP)
    • 在集群环境中IP地址变化更为频繁
    • 硬编码IP地址会导致连接失效

  2. 管理复杂性降低
    • 使用有意义的名称比记忆IP更直观
    • 无需维护IP地址映射表
    • 配置文件中使用名称更具可读性

  3. 动态扩展支持
    • 服务扩容时无需修改连接配置
    • 自动适应容器替换和迁移
    • 与负载均衡和服务发现机制更好配合

二、实现容器名称连接的核心条件

1. 必须使用自定义网络

Docker的默认bridge网络(docker0)不支持通过容器名称连接,只有自定义网络才提供内置DNS服务:

1
2
# 创建支持名称解析的自定义网络
docker network create my-app-network

2. 容器必须加入同一网络

所有需要互相通信的容器必须连接到同一个自定义网络:

1
2
docker run -d --name service-a --network my-app-network my-image
docker run -d --name service-b --network my-app-network my-image

三、实战演示:通过名称连接MySQL与应用

场景准备

假设我们需要部署一个Web应用连接MySQL数据库

步骤1:创建专用网络

1
docker network create app-network

步骤2:启动MySQL容器

1
2
3
4
5
6
docker run -d \
  --name mysql-db \
  --network app-network \
  -e MYSQL_ROOT_PASSWORD=secret \
  -e MYSQL_DATABASE=myapp \
  mysql:8.0

步骤3:启动应用容器

1
2
3
4
5
6
7
docker run -d \
  --name web-app \
  --network app-network \
  -e DB_HOST=mysql-db \
  -e DB_PASSWORD=secret \
  -p 8080:8080 \
  my-web-app

连接验证

在web-app容器中:

1
2
3
4
5
6
# 进入容器shell
docker exec -it web-app sh

# 测试连接MySQL
ping mysql-db  # 应能成功解析
nc -zv mysql-db 3306  # 检查端口连通性

四、特殊场景处理:1Panel环境下的网络集成

1Panel等管理面板会创建自己的网络(如1panel-network),需要将自定义容器加入该网络:

查看1Panel管理的MySQL网络

1
docker inspect 1Panel-mysql-Zhb7 | grep NetworkMode

将应用容器加入同一网络

1
docker network connect 1panel-network my-app-container

验证连接

1
2
# 在应用容器中测试
ping 1Panel-mysql-Zhb7

五、常见问题排查

  1. 无法解析容器名
    • 确认容器在同一自定义网络
    • 检查网络连接状态:docker network inspect <network>
    • 验证DNS解析:docker exec -it container-name nslookup target-name

  2. 连接超时
    • 检查目标服务是否监听正确端口
    • 验证防火墙/安全组设置
    • 测试基础连通性:pingtelnet

  3. 1Panel环境特殊问题
    • 确认容器已加入1panel-network
    • 检查1Panel的网络隔离策略
    • 查看1Panel的日志获取连接失败详情

六、踩坑记录

关于mysql的容器应用连接

Posted on

在Java中使用Redis和RedisTemplate来统计当日访问量和访问人数(UV)是一个常见的需求。下面我将提供一个完整的实现方案。

1. 设计思路

• **访问量(PV)**:使用Redis的INCR命令统计总访问次数
• **访问人数(UV)**:使用Redis的HyperLogLog数据结构统计独立访客数
过期时间:设置当日24点自动过期

2. 实现代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Service;

import java.time.LocalDate;
import java.time.ZoneId;
import java.time.ZonedDateTime;
import java.util.concurrent.TimeUnit;

@Service
public class VisitStatisticsService {

    private final RedisTemplate<String, String> redisTemplate;

    public VisitStatisticsService(RedisTemplate<String, String> redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    // 获取当日PV的key
    private String getTodayPVKey() {
        return "stat:pv:" + LocalDate.now().toString();
    }

    // 获取当日UV的key
    private String getTodayUVKey() {
        return "stat:uv:" + LocalDate.now().toString();
    }

    // 获取当天剩余的秒数(到24点的秒数)
    private long getRemainingSecondsToday() {
        ZonedDateTime now = ZonedDateTime.now(ZoneId.systemDefault());
        ZonedDateTime midnight = now.toLocalDate().plusDays(1).atStartOfDay(ZoneId.systemDefault());
        return midnight.toEpochSecond() - now.toEpochSecond();
    }

    /**
     * 记录访问
     * @param userId 用户ID(可以为IP地址或其他唯一标识)
     */
    public void recordVisit(String userId) {
        // 获取当天剩余的秒数
        long remainingSeconds = getRemainingSecondsToday();
        
        // 记录PV(访问量)
        ValueOperations<String, String> valueOps = redisTemplate.opsForValue();
        String pvKey = getTodayPVKey();
        valueOps.increment(pvKey);
        redisTemplate.expire(pvKey, remainingSeconds, TimeUnit.SECONDS);
        
        // 记录UV(独立访客)
        String uvKey = getTodayUVKey();
        redisTemplate.opsForHyperLogLog().add(uvKey, userId);
        redisTemplate.expire(uvKey, remainingSeconds, TimeUnit.SECONDS);
    }

    /**
     * 获取当日访问量(PV)
     */
    public Long getTodayPV() {
        String pvKey = getTodayPVKey();
        String value = redisTemplate.opsForValue().get(pvKey);
        return value == null ? 0L : Long.parseLong(value);
    }

    /**
     * 获取当日访问人数(UV)
     */
    public Long getTodayUV() {
        String uvKey = getTodayUVKey();
        return redisTemplate.opsForHyperLogLog().size(uvKey);
    }

    /**
     * 获取历史某天的访问量(PV)
     * @param date 日期
     */
    public Long getPVByDate(LocalDate date) {
        String pvKey = "stat:pv:" + date.toString();
        String value = redisTemplate.opsForValue().get(pvKey);
        return value == null ? 0L : Long.parseLong(value);
    }

    /**
     * 获取历史某天的访问人数(UV)
     * @param date 日期
     */
    public Long getUVByDate(LocalDate date) {
        String uvKey = "stat:uv:" + date.toString();
        return redisTemplate.opsForHyperLogLog().size(uvKey);
    }
}

3. 使用示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
@RestController
@RequestMapping("/api/visit")
public class VisitController {

    private final VisitStatisticsService visitStatisticsService;

    public VisitController(VisitStatisticsService visitStatisticsService) {
        this.visitStatisticsService = visitStatisticsService;
    }

    @GetMapping("/record")
    public String recordVisit(@RequestParam String userId) {
        visitStatisticsService.recordVisit(userId);
        return "Visit recorded for user: " + userId;
    }

    @GetMapping("/stats")
    public Map<String, Object> getStats() {
        Map<String, Object> result = new HashMap<>();
        result.put("pv", visitStatisticsService.getTodayPV());
        result.put("uv", visitStatisticsService.getTodayUV());
        return result;
    }
}

4. 设计说明

  1. PV统计
    • 使用简单的计数器(INCR命令)
    • 每个访问请求调用一次INCR
    • 键格式:stat:pv:yyyy-MM-dd

  2. UV统计
    • 使用HyperLogLog数据结构
    • 内存占用小(每个HyperLogLog约12KB)
    • 误差率约0.81%
    • 键格式:stat:uv:yyyy-MM-dd

  3. 过期时间
    • 自动计算到当天24点的剩余秒数
    • 设置键的过期时间
    • 避免数据无限增长

  4. 扩展性
    • 可以轻松扩展为按小时、周、月统计
    • 可以添加用户行为分析(如访问页面、停留时间等)

5. 性能优化

  1. 批量操作:如果有批量记录需求,可以使用pipeline提高性能
  2. 持久化:如果需要长期保存数据,可以定期将Redis数据持久化到数据库
  3. 分布式:此方案天然支持分布式环境

6. 注意事项

  1. HyperLogLog有约0.81%的误差率,如果要求精确计数,可以使用Set数据结构(但内存消耗更大)
  2. Redis重启可能导致数据丢失,重要数据应考虑持久化方案
  3. 在高并发场景下,INCR命令是原子操作,无需担心并发问题

这个实现方案简单高效,适合大多数Web应用的访问统计需求。

Posted on

Cloudflare 的 5秒盾(Under Attack Mode)是网站防护的常见手段,通过 JavaScript 挑战验证访客真实性。很多网站会使用Cloudflare提供安全服务,导致爬虫的时候显示403状态。

55187d199c2a9079caff09622c6f78f9933ed773

一、解决方案及代码示例

1. 使用 cloudscraper 库

原理:模拟 Cloudflare 预期的请求特征

1
2
3
4
5
import cloudscraper

scraper = cloudscraper.create_scraper()
response = scraper.get("https://target-site.com")
print(response.text)

2. 使用 curl_cffi 库

优势:支持多浏览器指纹模拟

1
2
3
4
5
6
7
from curl_cffi import requests

response = requests.get(
    "https://target-site.com",
    impersonate="chrome110"  # 支持 chrome99-110 / edge99-110
)
print(response.text)

3. 第三方 API 服务

推荐服务

  • ScrapingBee(自带代理轮转)
  • ScraperAPI
  • ZenRows
1
2
3
4
5
6
import requests

API_KEY = "your_api_key"
response = requests.get(
    f"https://api.scrapingbee.com/v1/?api_key={API_KEY}&url=target-site.com"
)

4. FlareSolverr 服务

架构:基于 Puppeteer 的中间件服务

部署步骤:

1
2
3
4
5
6
docker run -d \
  --name flaresolverr \
  -p 8191:8191 \
  -e LOG_LEVEL=info \
  --restart unless-stopped \
  ghcr.io/flaresolverr/flaresolverr:latest

调用示例:

1
2
3
4
5
6
7
8
import requests

payload = {
    "cmd": "request.get",
    "url": "https://target-site.com",
    "maxTimeout": 60000
}
response = requests.post("http://localhost:8191/v1", json=payload)

二、方案对比分析

方案 执行速度 维护成本 隐匿性 适用场景
cloudscraper ★★★★ 中小规模常规采集
curl_cffi ★★★★★ 需要最新指纹场景
第三方API ★★★ 企业级高频采集
FlareSolverr ★★ 极高 复杂JS验证场景

三、对抗升级建议

  1. IP轮换策略:结合住宅代理使用(推荐 BrightData)
  2. 指纹随机化:定期更换 User-Agent/TLS 指纹
  3. 请求限速:设置 3-10 秒随机延迟
  4. 头信息校验:携带完整 Accept-Encoding/Cookie 等头
TOP