高併發下請求去重的一些思路

• 01、利用唯一請求編號去重

• 02、業務參數去重

• 03、計算請求參數的摘要作爲參數標識

• 04、繼續優化，考慮剔除部分時間因子

• 05、請求去重工具類，Java 實現

• 06、總結

對於一些用戶請求，在某些情況下是可能重複發送的，如果是查詢類操作並無大礙，但其中有些是涉及寫入操作的，一旦重複了，可能會導致很嚴重的後果，例如交易的接口如果重複請求可能會重複下單。

重複的場景有可能是：

1. 黑客攔截了請求，重放

2. 前端 / 客戶端因爲某些原因請求重複發送了，或者用戶在很短的時間內重複點擊了。

3. 網關重發

4. ….

本文討論的是如果在服務端優雅地統一處理這種情況，如何禁止用戶重複點擊等客戶端操作不在本文的討論範疇。

01、利用唯一請求編號去重

你可能會想到的是，只要請求有唯一的請求編號，那麼就能借用 Redis 做這個去重——只要這個唯一請求編號在 redis 存在，證明處理過，那麼就認爲是重複的

代碼大概如下：

    String KEY = "REQ12343456788";//請求唯一編號
    long expireTime =  1000;// 1000毫秒過期，1000ms內的重複請求會認爲重複
    long expireAt = System.currentTimeMillis() + expireTime;
    String val = "expireAt@" + expireAt;
    //redis key還存在的話要就認爲請求是重複的
    Boolean firstSet = stringRedisTemplate.execute((RedisCallback<Boolean>) connection -> connection.set(KEY.getBytes(), val.getBytes(), Expiration.milliseconds(expireTime), RedisStringCommands.SetOption.SET_IF_ABSENT));
    final boolean isConsiderDup;
    if (firstSet != null && firstSet) {// 第一次訪問
        isConsiderDup = false;
    } else {// redis值已存在，認爲是重複了
        isConsiderDup = true;
    }

02、業務參數去重

上面的方案能解決具備唯一請求編號的場景，例如每次寫請求之前都是服務端返回一個唯一編號給客戶端，客戶端帶着這個請求號做請求，服務端即可完成去重攔截。

但是，很多的場景下，請求並不會帶這樣的唯一編號！那麼我們能否針對請求的參數作爲一個請求的標識呢？

先考慮簡單的場景，假設請求參數只有一個字段 reqParam，我們可以利用以下標識去判斷這個請求是否重複。用戶 ID: 接口名: 請求參數

String KEY = "dedup:U="+userId + "M=" + method + "P=" + reqParam;

那麼當同一個用戶訪問同一個接口，帶着同樣的 reqParam 過來，我們就能定位到他是重複的了。

但是問題是，我們的接口通常不是這麼簡單，以目前的主流，我們的參數通常是一個 JSON。那麼針對這種場景，我們怎麼去重呢？

03、計算請求參數的摘要作爲參數標識

假設我們把請求參數（JSON）按 KEY 做升序排序，排序後拼成一個字符串，作爲 KEY 值呢？但這可能非常的長，所以我們可以考慮對這個字符串求一個 MD5 作爲參數的摘要，以這個摘要去取代 reqParam 的位置。

String KEY = "dedup:U="+userId + "M=" + method + "P=" + reqParamMD5;

這樣，請求的唯一標識就打上了！

注：MD5 理論上可能會重複，但是去重通常是短時間窗口內的去重（例如一秒），一個短時間內同一個用戶同樣的接口能拼出不同的參數導致一樣的 MD5 幾乎是不可能的。

04、繼續優化，考慮剔除部分時間因子

上面的問題其實已經是一個很不錯的解決方案了，但是實際投入使用的時候可能發現有些問題：某些請求用戶短時間內重複的點擊了（例如 1000 毫秒發送了三次請求），但繞過了上面的去重判斷（不同的 KEY 值）。

原因是這些請求參數的字段裏面，是帶時間字段的，這個字段標記用戶請求的時間，服務端可以藉此丟棄掉一些老的請求（例如 5 秒前）。如下面的例子，請求的其他參數是一樣的，除了請求時間相差了一秒：

 //兩個請求一樣，但是請求時間差一秒
    String req = "{\n" +
            "\"requestTime\" :\"20190101120001\",\n" +
            "\"requestValue\" :\"1000\",\n" +
            "\"requestKey\" :\"key\"\n" +
            "}";
    String req2 = "{\n" +
            "\"requestTime\" :\"20190101120002\",\n" +
            "\"requestValue\" :\"1000\",\n" +
            "\"requestKey\" :\"key\"\n" +
            "}";

這種請求，我們也很可能需要擋住後面的重複請求。所以求業務參數摘要之前，需要剔除這類時間字段。還有類似的字段可能是 GPS 的經緯度字段（重複請求間可能有極小的差別）。

05、請求去重工具類，Java 實現

public class ReqDedupHelper {
    /**
     *
     * @param reqJSON 請求的參數，這裏通常是JSON
     * @param excludeKeys 請求參數裏面要去除哪些字段再求摘要
     * @return 去除參數的MD5摘要
     */
    public String dedupParamMD5(final String reqJSON, String... excludeKeys) {
        String decreptParam = reqJSON;
        TreeMap paramTreeMap = JSON.parseObject(decreptParam, TreeMap.class);
        if (excludeKeys!=null) {
            List<String> dedupExcludeKeys = Arrays.asList(excludeKeys);
            if (!dedupExcludeKeys.isEmpty()) {
                for (String dedupExcludeKey : dedupExcludeKeys) {
                    paramTreeMap.remove(dedupExcludeKey);
                }
            }
        }
        String paramTreeMapJSON = JSON.toJSONString(paramTreeMap);
        String md5deDupParam = jdkMD5(paramTreeMapJSON);
        log.debug("md5deDupParam = {}, excludeKeys = {} {}", md5deDupParam, Arrays.deepToString(excludeKeys), paramTreeMapJSON);
        return md5deDupParam;
    }
    private static String jdkMD5(String src) {
        String res = null;
        try {
            MessageDigest messageDigest = MessageDigest.getInstance("MD5");
            byte[] mdBytes = messageDigest.digest(src.getBytes());
            res = DatatypeConverter.printHexBinary(mdBytes);
        } catch (Exception e) {
            log.error("",e);
        }
        return res;
    }
}

下面是一些測試日誌：

public static void main(String[] args) {
    //兩個請求一樣，但是請求時間差一秒
    String req = "{\n" +
            "\"requestTime\" :\"20190101120001\",\n" +
            "\"requestValue\" :\"1000\",\n" +
            "\"requestKey\" :\"key\"\n" +
            "}";
    String req2 = "{\n" +
            "\"requestTime\" :\"20190101120002\",\n" +
            "\"requestValue\" :\"1000\",\n" +
            "\"requestKey\" :\"key\"\n" +
            "}";
    //全參數比對，所以兩個參數MD5不同
    String dedupMD5 = new ReqDedupHelper().dedupParamMD5(req);
    String dedupMD52 = new ReqDedupHelper().dedupParamMD5(req2);
    System.out.println("req1MD5 = "+ dedupMD5+" , req2MD5="+dedupMD52);
    //去除時間參數比對，MD5相同
    String dedupMD53 = new ReqDedupHelper().dedupParamMD5(req,"requestTime");
    String dedupMD54 = new ReqDedupHelper().dedupParamMD5(req2,"requestTime");
    System.out.println("req1MD5 = "+ dedupMD53+" , req2MD5="+dedupMD54);
}

日誌輸出：

req1MD5 = 9E054D36439EBDD0604C5E65EB5C8267 , req2MD5=A2D20BAC78551C4CA09BEF97FE468A3F
req1MD5 = C2A36FED15128E9E878583CAAAFEFDE9 , req2MD5=C2A36FED15128E9E878583CAAAFEFDE9

日誌說明：

• 一開始兩個參數由於 requestTime 是不同的，所以求去重參數摘要的時候可以發現兩個值是不一樣的

• 第二次調用的時候，去除了 requestTime 再求摘要（第二個參數中傳入了”requestTime”），則發現兩個摘要是一樣的，符合預期。

06、總結

至此，我們可以得到完整的去重解決方案，如下：

String userId= "12345678";//用戶
String method = "pay";//接口名
String dedupMD5 = new ReqDedupHelper().dedupParamMD5(req,"requestTime");//計算請求參數摘要，其中剔除裏面請求時間的干擾
String KEY = "dedup:U=" + userId + "M=" + method + "P=" + dedupMD5;
long expireTime =  1000;// 1000毫秒過期，1000ms內的重複請求會認爲重複
long expireAt = System.currentTimeMillis() + expireTime;
String val = "expireAt@" + expireAt;
// NOTE:直接SETNX不支持帶過期時間，所以設置+過期不是原子操作，極端情況下可能設置了就不過期了，後面相同請求可能會誤以爲需要去重，所以這裏使用底層API，保證SETNX+過期時間是原子操作
Boolean firstSet = stringRedisTemplate.execute((RedisCallback<Boolean>) connection -> connection.set(KEY.getBytes(), val.getBytes(), Expiration.milliseconds(expireTime),
        RedisStringCommands.SetOption.SET_IF_ABSENT));
final boolean isConsiderDup;
if (firstSet != null && firstSet) {
    isConsiderDup = false;
} else {
    isConsiderDup = true;
}

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/5d9v3OA6VdfU3oppT8o_tA