做服务接口时通常需要用到请求频率限制 Rate limiting,例如限制一个用户1分钟内最多可以范围100次
主要用来保证服务性能和保护数据安全
因为如果不进行限制,服务调用者可以随意访问,想调几次就调几次,会给服务造成很大的压力,降低性能,再比如有的接口需要验证调用者身份,如果不进行访问限制,调用者可以进行暴力尝试
通过 Redis 可以方便的实现频率限制功能,下面介绍两种不错的方法
把限制逻辑封装到一个Lua脚本中,调用时只需传入:key、限制数量、过期时间,调用结果就会指明是否运行访问
local notexists = redis.call(\"set\", KEYS[1], 1, \"NX\", \"EX\", tonumber(ARGV[2]))
if (notexists) then
return 1
end
local current = tonumber(redis.call(\"get\", KEYS[1]))
if (current == nil) then
local result = redis.call(\"incr\", KEYS[1])
redis.call(\"expire\", KEYS[1], tonumber(ARGV[2]))
return result
end
if (current >= tonumber(ARGV[1])) then
error(\"too many requests\")
end
local result = redis.call(\"incr\", KEYS[1])
return result
使用 eval 调用
eval 脚本 1 key 参数-允许的最大次数 参数-过期时间
Redis4 中开放了模块系统,大家可以开发自己的模块插入到 redis 中,redis 官方已经推荐了一个访问限制模块 redis-cell,只需要一条命令就可以实现需求
示例
CL.THROTTLE user123 15 30 60
user123 是 key
15 是最大配额数量
30 是可以访问次数
60 是时间周期,单位秒
综合起来的意思是,user123 的最大资源配额是15,60秒内最多可以访问30次
返回结果:
1) (integer) 0 # 0 允许; 1 拒绝
2) (integer) 16 # 总配额
3) (integer) 15 # 剩余配额
4) (integer) -1 # 几秒后可以重试,-1 表示不限制,第一条为0时,此处为-1
5) (integer) 2 # 几秒后恢复最大值
每次执行这个命令时,剩余配额都会减1,当配额不足,或者访问次数超限时,都会被拒绝
项目地址
https://github.com/antirez/neural-redis
频率限制的实现有多种方式,例如,Nginx 和 Haproxy 都有限制模块、Java 中可以用 Guava,通过Redis来实现也是很常见的方式
目前方案1代表了主流用法,例如大型的云服务商Heroku、在线支付Stripe都在使用 Redis+Lua脚本的这个方案
方案2基于 Redis4 的模块系统,现在还不太适用,但当 Redis4 成为稳定版本后,就可以愉快的使用了
原文来自: 性能与架构
声明:所有来源为“聚合数据”的内容信息,未经本网许可,不得转载!如对内容有异议或投诉,请与我们联系。邮箱:marketing@think-land.com
通过企业关键词查询企业涉讼详情,如裁判文书、开庭公告、执行公告、失信公告、案件流程等等。
IP反查域名是通过IP查询相关联的域名信息的功能,它提供IP地址历史上绑定过的域名信息。
结合权威身份认证的精准人脸风险查询服务,提升人脸应用及身份认证生态的安全性。人脸风险情报库,覆盖范围广、准确性高,数据权威可靠。
全国城市和站点空气质量查询,污染物浓度及空气质量分指数、空气质量指数、首要污染物及空气质量级别、健康指引及建议采取的措施等。
输入手机号和拦截等级,查看是否是风险号码