基于Redis實現一個簡單的固定窗口限流器
作者:漁夫子
我們基于在登錄流程中使用的用戶名進行速率限制。如果是基于其他指標進行限流(例如傳入請求的遠程IP地址),那么該限流器是不起作用的。
大家好,我是漁夫子。
限流器是在大流量中保護服務資源的一種常用手段。限流器的實現有令牌桶方式、固定窗口限流器和滑動窗口限流器。本文介紹了基于Redis如何快速的實現固定窗口限流器。
最近在我們的項目中需要快速的實現一個流量限流器,而目前項目中已經有在用Redis了。
固定窗口限流器:它是在固定的時間窗口(例如一分鐘)內計算接收到的請求數量。一旦達到最大請求數量,額外的請求將被拒絕,直到下一個窗口開始。
要基于Redis實現固定窗口限流器非常簡單,如下lua代碼:
local current
current = redis.call("INCR", KEYS[1])
if tonumber(current) == 1 then
redis.call("EXPIRE", KEYS[1], 60)
end
return current每次運行這個腳本時,它都會獲取一個鍵并將其值遞增1。如果是第一次遞增該鍵時,都會設置一個60秒的過期時間。它返回遞增后的當前值。
該鍵在首次設置60秒后過期。一旦過期,它將在下一個請求時再次設置。
當服務收到一個請求時,就可以調用該段代碼。如果腳本返回的值大于允許的值,則由于速率限制而中止該請求。如果返回的值不大于允許的值,則處理該請求。
const script = `
local current
current = redis.call("INCR", KEYS[1])
if tonumber(current) == 1 then
redis.call("EXPIRE", KEYS[1], 60)
end
return current
`
func isRateLimited(ctx context.Context, key string, limit int64) (bool, error) {
v, err := redisClient.Eval(ctx, script, []string{key}).Result()
if err != nil {
return false, err
}
n, _ := v.(int64)
return n > int64(limit), nil
}isRateLimited函數可以按如下方式使用:
func handleLogin(r *http.Request, w http.ResponseWriter) {
username := r.FormValue("username")
limited, _ := isRateLimited(context.TODO(), fmt.Sprintf("rateLimit:login:username:%s", username, 5))
if limited {
http.Error(w, "Too Many Attempts", http.StatusTooManyRequests)
return
}
// ...
}這樣就可以工作了。
請注意,固定窗口限流器雖然可以有效抵御持續攻擊,但可能會影響合法用戶的體驗。
在上面的示例中,我們基于在登錄流程中使用的用戶名進行速率限制。如果是基于其他指標進行限流(例如傳入請求的遠程IP地址),那么該限流器是不起作用的。
責任編輯:武曉燕
來源:
Go學堂
