基於 Redis 實現一個簡單的固定窗口限流器

大家好，我是漁夫子。

限流器是在大流量中保護服務資源的一種常用手段。限流器的實現有令牌桶方式、固定窗口限流器和滑動窗口限流器。本文介紹了基於 Redis 如何快速的實現固定窗口限流器。

最近在我們的項目中需要快速的實現一個流量限流器，而目前項目中已經有在用 Redis 了。

固定窗口限流器：它是在固定的時間窗口（例如一分鐘）內計算接收到的請求數量。一旦達到最大請求數量，額外的請求將被拒絕，直到下一個窗口開始。

要基於 Redis 實現固定窗口限流器非常簡單，如下 lua 代碼：

local current
current = redis.call("INCR", KEYS[1])
if tonumber(current) == 1 then
 redis.call("EXPIRE", KEYS[1], 60)
end
return current

每次運行這個腳本時，它都會獲取一個鍵並將其值遞增 1。如果是第一次遞增該鍵時，都會設置一個 60 秒的過期時間。它返回遞增後的當前值。

該鍵在首次設置 60 秒後過期。一旦過期，它將在下一個請求時再次設置。

當服務收到一個請求時，就可以調用該段代碼。如果腳本返回的值大於允許的值，則由於速率限制而中止該請求。如果返回的值不大於允許的值，則處理該請求。

const script = `
local current
current = redis.call("INCR", KEYS[1])
if tonumber(current) == 1 then
 redis.call("EXPIRE", KEYS[1], 60)
end
return current
`

func isRateLimited(ctx context.Context, key string, limit int64) (bool, error) { 
 v, err := redisClient.Eval(ctx, script, []string{key}).Result()
 if err != nil {
  return false, err
 }
 n, _ := v.(int64)
 return n > int64(limit), nil
}

isRateLimited函數可以按如下方式使用：

func handleLogin(r *http.Request, w http.ResponseWriter) {
 username := r.FormValue("username")

 limited, _ := isRateLimited(context.TODO(), fmt.Sprintf("rateLimit:login:username:%s", username, 5))
 if limited {
  http.Error(w, "Too Many Attempts", http.StatusTooManyRequests)
  return
 }

 // ...
}

這樣就可以工作了。

請注意，固定窗口限流器雖然可以有效抵禦持續攻擊，但可能會影響合法用戶的體驗。

在上面的示例中，我們基於在登錄流程中使用的用戶名進行速率限制。如果是基於其他指標進行限流（例如傳入請求的遠程 IP 地址），那麼該限流器是不起作用的。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/6aicpVC3qjRpf1ILI4V4lA