什麼是速率限制器以及為什麼要使用它？

Web 系統經常面臨短時間內大量客戶端請求的挑戰。 這可能會使伺服器不堪重負，導致速度減慢或失敗。 速率限制器透過控制每個客戶端的請求頻率來優雅地解決這個問題。 它充當看門人的角色，將 API 或服務呼叫限制在指定的時間視窗內。

為什麼要實施速率限制？

速率限制提供了幾個重要的好處：

1. 濫用預防： 緩解過度或惡意要求，例如拒絕服務 (DoS) 攻擊，防止系統過載。

2. 資源管理：確保有效的資源分配，防止一個客戶端獨佔伺服器資源並影響其他客戶端。

3. 效能增強：透過防止請求氾濫，即使在高流量負載下也能保持應用程式回應能力。

4. 改善使用者體驗：防止使用者因要求過多而鎖定或效能下降。

5. 安全加強：透過限制請求率來幫助阻止暴力攻擊或利用嘗試。

使用 Chi 進行實用的 Go 實作

讓我們使用流行的 Chi 路由套件和 golang.org/x/time/rate 套件（採用令牌桶演算法）來檢查 Go 實作。 此範例使用 http.Handler 來控制客戶端請求率。

<code class="language-go">package main

import (
    "encoding/json"
    "net/http"
    "strings"
    "time"

    "github.com/go-chi/chi"
    "golang.org/x/time/rate"
)

func main() {
    r := chi.NewRouter()

    // Globally limits to 5 requests per second with a burst of 10
    r.Use(RateLimiter(rate.Limit(5), 10, 1*time.Second))

    // Test route
    r.Get("/", func(w http.ResponseWriter, r *http.Request) {
        w.Write([]byte("Request successful"))
    })

    http.ListenAndServe(":3000", r)
}

// RateLimiter middleware
func RateLimiter(limit rate.Limit, burst int, waitTime time.Duration) func(next http.Handler) http.Handler {
    limiterMap := make(map[string]*rate.Limiter)
    lastRequestMap := make(map[string]time.Time)

    return func(next http.Handler) http.Handler {
        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
            ip := strings.Split(r.RemoteAddr, ":")[0]

            limiter, exists := limiterMap[ip]
            if !exists {
                limiter = rate.NewLimiter(limit, burst)
                limiterMap[ip] = limiter
            }

            lastRequestTime, lastRequestExists := lastRequestMap[ip]
            if lastRequestExists && time.Since(lastRequestTime) < waitTime {
                //Handle exceeding rate limit
                http.Error(w, http.StatusText(http.StatusTooManyRequests), http.StatusTooManyRequests)
                return
            }

            if !limiter.Allow() {
                http.Error(w, http.StatusText(http.StatusTooManyRequests), http.StatusTooManyRequests)
                return
            }

            lastRequestMap[ip] = time.Now()
            next.ServeHTTP(w, r)
        })
    }
}</code>

• 突發： 允許超過平均速率的短時間突發請求。

超過速率限制會導致429 (Too Many Requests)錯誤。

速率限制策略

有多種方法可用於識別和限制客戶端使用：

1. 基於 IP： 限制來自特定 IP 位址的請求。 簡單但在共享網路（NAT）上無效。

2. 基於身份驗證令牌： 基於身份驗證令牌（JWT、OAuth）追蹤請求。 更細粒度，但需要身份驗證。

3. 基於客戶端 ID： 使用唯一的客戶端 ID（API 金鑰）。對於服務整合有效，但如果密鑰洩露，則很容易受到攻擊。

4. 每個使用者會話： 根據唯一會話識別碼限制請求。 注重個人使用者體驗。

5. 基於路由/端點： 將請求限製到特定的高流量端點。 與其他方法結合得很好。

為了簡單起見，此範例使用 IP 位址，適用於公用 API 或沒有基於令牌的驗證的應用程式。

結論

速率限制對於應用程式的安全性、穩定性和使用者體驗至關重要。 此範例示範了使用 Go 和 Chi 的實用且高效的實作。 這是防止濫用和確保公平資源分配的關鍵技術。

連結

部落格文章

範例儲存庫

以上是什麼是速率限制器以及為什麼要使用它？的詳細內容。更多資訊請關注PHP中文網其他相關文章！