Redis 实现接口访问频率限制

为什么限制访问频率

做服务接口时通常需要用到请求频率限制 Rate limiting，例如限制一个用户1分钟内最多可以范围100次

主要用来保证服务性能和保护数据安全

因为如果不进行限制，服务调用者可以随意访问，想调几次就调几次，会给服务造成很大的压力，降低性能，再比如有的接口需要验证调用者身份，如果不进行访问限制，调用者可以进行暴力尝试

使用 Redis 来实现

通过 Redis 可以方便的实现频率限制功能，下面介绍两种不错的方法

（1）方案1 - Lua脚本

思路

把限制逻辑封装到一个Lua脚本中，调用时只需传入：key、限制数量、过期时间，调用结果就会指明是否运行访问

代码

local notexists = redis.call(\"set\", KEYS[1], 1, \"NX\", \"EX\", tonumber(ARGV[2]))
if (notexists) then
  return 1
end
local current = tonumber(redis.call(\"get\", KEYS[1]))
if (current == nil) then
  local result = redis.call(\"incr\", KEYS[1])
  redis.call(\"expire\", KEYS[1], tonumber(ARGV[2]))
  return result
end
if (current >= tonumber(ARGV[1])) then
  error(\"too many requests\")
end
local result = redis.call(\"incr\", KEYS[1])
return result

使用 eval 调用

eval 脚本 1 key 参数-允许的最大次数 参数-过期时间

（2）方案2 - 扩展模块

Redis4 中开放了模块系统，大家可以开发自己的模块插入到 redis 中，redis 官方已经推荐了一个访问限制模块 redis-cell，只需要一条命令就可以实现需求

示例

CL.THROTTLE user123 15 30 60 

• user123 是 key
• 15 是最大配额数量
• 30 是可以访问次数
• 60 是时间周期，单位秒

综合起来的意思是，user123 的最大资源配额是15，60秒内最多可以访问30次

返回结果：

1) (integer) 0   # 0 允许; 1 拒绝
2) (integer) 16  # 总配额
3) (integer) 15  # 剩余配额
4) (integer) -1  # 几秒后可以重试，-1 表示不限制，第一条为0时，此处为-1
5) (integer) 2   # 几秒后恢复最大值

每次执行这个命令时，剩余配额都会减1，当配额不足，或者访问次数超限时，都会被拒绝

项目地址

https://github.com/antirez/neural-redis

小结

频率限制的实现有多种方式，例如，Nginx 和 Haproxy 都有限制模块、Java 中可以用 Guava，通过Redis来实现也是很常见的方式

目前方案1代表了主流用法，例如大型的云服务商Heroku、在线支付Stripe都在使用 Redis+Lua脚本的这个方案

方案2基于 Redis4 的模块系统，现在还不太适用，但当 Redis4 成为稳定版本后，就可以愉快的使用了