La limitation de débit protège et améliore la disponibilité des services basés sur l'API. Si vous parlez à une API et recevez un code d'état de réponse HTTP 429 Too Many Requests, votre débit est limité. Cela signifie que vous avez dépassé le nombre de demandes autorisées dans un temps donné. Tout ce que vous avez à faire est de ralentir, d’attendre un moment et de réessayer.
Recommandation de tutoriel vidéo : Tutoriel nodejs
Lorsque vous envisagez de limiter vos propres services basés sur des API, vous devez peser les compromis entre l'expérience utilisateur, la sécurité et les performances.
La raison la plus courante pour contrôler le flux de données est de maintenir la disponibilité des services basés sur des API. Mais il existe également des avantages en matière de sécurité, car une augmentation accidentelle ou intentionnelle du trafic entrant peut consommer des ressources précieuses et avoir un impact sur la disponibilité pour les autres utilisateurs.
En contrôlant le taux de demandes entrantes, vous pouvez :
La limitation de débit peut être mise en œuvre au niveau du client, au niveau de l'application, au niveau de l'infrastructure ou n'importe où entre les deux. Il existe plusieurs façons de contrôler le trafic entrant vers votre service API :
Vous pouvez utiliser n'importe laquelle de ces limites de débit (ou même une combinaison).
Peu importe la manière dont vous choisissez de la mettre en œuvre, l'objectif de la limitation de débit est d'établir un point de contrôle qui refuse ou accepte les demandes d'accès à vos ressources. De nombreux langages et frameworks de programmation disposent de fonctionnalités ou de middleware intégrés pour y parvenir, ainsi que d'options pour divers algorithmes de limitation de débit.
Voici une façon de créer votre propre limiteur de débit à l'aide de Node et Redis :
Créez une application Node
Ajouter une limiteur de débit utilisant Redis
Test dans Postman
Voir des exemples de code sur GitHub.
Avant de commencer, assurez-vous que Node et Redis sont installés sur votre ordinateur.
Configurer une nouvelle application Node à partir de la ligne de commande. Acceptez les options par défaut via l'invite CLI ou ajoutez l'indicateur —yes
.
$ npm init --yes
Si les options par défaut ont été acceptées lors de la configuration du projet, créez un fichier nommé index.js
pour le point d'entrée.
$ touch index.js
Installez Express Web Framework, puis initialisez le serveur dans index.js
.
const express = require('express') const app = express() const port = process.env.PORT || 3000 app.get('/', (req, res) => res.send('Hello World!')) app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))
Démarrez le serveur depuis la ligne de commande.
$ node index.js
De retour dans index.js
, créez un itinéraire qui vérifie d'abord la limite de débit et autorise l'accès à la ressource si l'utilisateur ne dépasse pas la limite.
app.post('/', async (req, res) => { async function isOverLimit(ip) { // to define } // 检查率限制 let overLimit = await isOverLimit(req.ip) if (overLimit) { res.status(429).send('Too many requests - try again later') return } // 允许访问资源 res.send("Accessed the precious resources!") })
Dans la prochaine étape, nous définirons la fonction limiteur de débit isOverLimit
.
Redis est une base de données clé-valeur en mémoire, il peut donc récupérer des données très rapidement. La mise en œuvre de la limitation de débit avec Redis est également très simple.
L'algorithme de limitation de débit présenté ci-dessous est un Exemple de comptoir à fenêtre coulissante. Un utilisateur n’atteindra jamais la limite de débit s’il soumet un nombre modéré d’appels ou s’il les espace dans le temps. Les utilisateurs qui dépassent la demande maximale dans la fenêtre de 10 secondes doivent attendre suffisamment de temps pour reprendre leurs demandes.
Installez un client Redis nommé ioredis pour Node à partir de la ligne de commande.
$ npm install ioredis
Démarrez le serveur Redis localement.
$ redis-server
demande et initialise ensuite le client Redis dans index.js
.
const redis = require('ioredis') const client = redis.createClient({ port: process.env.REDIS_PORT || 6379, host: process.env.REDIS_HOST || 'localhost', }) client.on('connect', function () { console.log('connected'); });
Définissez la fonction isOverLimit que nous avons commencé à écrire à l'étape précédente. Selon ce mode de Redis, un compteur est enregistré en fonction de l'IP.
async function isOverLimit(ip) { let res try { res = await client.incr(ip) } catch (err) { console.error('isOverLimit: could not increment key') throw err } console.log(`${ip} has value: ${res}`) if (res > 10) { return true } client.expire(ip, 10) }
C'est le limiteur de débit.
Lorsqu'un utilisateur appelle l'API, nous vérifions Redis pour voir si l'utilisateur a dépassé la limite. Si tel est le cas, l'API renverra immédiatement un code d'état HTTP 429 avec le message Too many requests — try again later
. Si l'utilisateur est dans les limites, nous passons au bloc de code suivant où nous pouvons autoriser l'accès à une ressource protégée (comme une base de données).
Lors de la vérification des limites de débit, nous trouvons l'enregistrement de l'utilisateur dans Redis et incrémentons son nombre de demandes. S'il n'y a pas d'enregistrement pour cet utilisateur dans Redis, nous créons un nouvel enregistrement. Enfin, chaque enregistrement expirera dans les 10 secondes suivant l'activité la plus récente.
Dans l'étape suivante, assurez-vous que notre limiteur de vitesse fonctionne correctement.
Enregistrez les modifications et redémarrez le serveur. Nous utiliserons Postman pour envoyer la requête POST
à notre serveur API, qui s'exécute localement sur http:// localhost:3000
.
Continuez à envoyer des demandes en succession rapide pour atteindre votre limite de débit.
Ceci est un exemple simple de limiteur de débit pour Node et Redis, et c'est juste le début. Il existe de nombreuses stratégies et outils que vous pouvez utiliser pour structurer et mettre en œuvre vos limites de taux. Et il existe d'autres améliorations qui peuvent être explorées avec cet exemple, telles que :
Retry-after
, indiquez à l'utilisateur combien de temps il doit attendre avant de réessayerN'oubliez pas que lorsque vous En recherchant les limites de l'API, vous évaluez les performances, la sécurité et l'expérience utilisateur. Votre solution idéale de limitation de débit évoluera au fil du temps, en tenant compte de ces facteurs.
Adresse originale en anglais : https://codeburst.io/api-rate-limiting-with-node-and-redis-95354259c768
Plus de connaissances liées à la programmation, veuillez visiter : Introduction à la programmation ! !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!