Redis 实现接口访问频率限制

为什么限制访问频率

做服务接口时通常需要用到请求频率限制 Rate limiting,例如限制一个用户1分钟内最多可以范围100次

主要用来保证服务性能保护数据安全

因为如果不进行限制,服务调用者可以随意访问,想调几次就调几次,会给服务造成很大的压力,降低性能,再比如有的接口需要验证调用者身份,如果不进行访问限制,调用者可以进行暴力尝试

使用 Redis 来实现

通过 Redis 可以方便的实现频率限制功能,下面介绍两种不错的方法

(1)方案1 - Lua脚本

思路

把限制逻辑封装到一个Lua脚本中,调用时只需传入:key、限制数量、过期时间,调用结果就会指明是否运行访问

代码

local notexists = redis.call(\"set\", KEYS[1], 1, \"NX\", \"EX\", tonumber(ARGV[2]))
if (notexists) then
  return 1
end
local current = tonumber(redis.call(\"get\", KEYS[1]))
if (current == nil) then
  local result = redis.call(\"incr\", KEYS[1])
  redis.call(\"expire\", KEYS[1], tonumber(ARGV[2]))
  return result
end
if (current >= tonumber(ARGV[1])) then
  error(\"too many requests\")
end
local result = redis.call(\"incr\", KEYS[1])
return result

使用 eval 调用

eval 脚本 1 key 参数-允许的最大次数 参数-过期时间

(2)方案2 - 扩展模块

Redis4 中开放了模块系统,大家可以开发自己的模块插入到 redis 中,redis 官方已经推荐了一个访问限制模块 redis-cell,只需要一条命令就可以实现需求

示例

CL.THROTTLE user123 15 30 60 
  • user123 是 key
  • 15 是最大配额数量
  • 30 是可以访问次数
  • 60 是时间周期,单位秒

综合起来的意思是,user123 的最大资源配额是15,60秒内最多可以访问30次

返回结果:

1) (integer) 0   # 0 允许; 1 拒绝
2) (integer) 16  # 总配额
3) (integer) 15  # 剩余配额
4) (integer) -1  # 几秒后可以重试,-1 表示不限制,第一条为0时,此处为-1
5) (integer) 2   # 几秒后恢复最大值

每次执行这个命令时,剩余配额都会减1,当配额不足,或者访问次数超限时,都会被拒绝

项目地址

https://github.com/antirez/neural-redis

小结

频率限制的实现有多种方式,例如,Nginx 和 Haproxy 都有限制模块、Java 中可以用 Guava,通过Redis来实现也是很常见的方式

目前方案1代表了主流用法,例如大型的云服务商Heroku、在线支付Stripe都在使用 Redis+Lua脚本的这个方案

方案2基于 Redis4 的模块系统,现在还不太适用,但当 Redis4 成为稳定版本后,就可以愉快的使用了

原文发布于微信公众号 - 性能与架构(yogoup)

原文发表时间:2017-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Go代码审计:Gitea远程命令执行漏洞链

这是一个非常漂亮的漏洞链,很久没见过了。我用docker来复现并学习这个漏洞,官方提供了docker镜像,vulhub也会上线这个环境。

22930
来自专栏张善友的专栏

使用C# 和Consul进行分布式系统协调

随着大数据时代的到来,分布式是解决大数据问题的一个主要手段,随着越来越多的分布式的服务,如何在分布式的系统中对这些服务做协调变成了一个很棘手的问题。今天我们就来...

46350
来自专栏散尽浮华

DNS之BIND使用小结(Forward转发)

之前详细介绍了DNS及其在linux下的部署过程,今天再说下DNS的BIND高级特性-forwarder转发功能。比如下面一个案例: 1)已经在测试环境下部署了...

1.1K30
来自专栏cs

使用WinHex

winhex 是一个专门用来对付各种日常紧急情况的工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起...

43770
来自专栏菩提树下的杨过

[原创]x.509证书在WCF中的应用(CS篇)

为什么要用x.509证书? WCF的服务端和客户端之间,如果不作任何安全处理(即服务端的<security mode="None">),则所有传输的消息将以明文...

31270
来自专栏非著名程序员

10款你可能不知道的Android开发辅助工具

1、XAppDbg XAppDbg是一个可以在运行中改变代码中参数的一个应用开发工具。这个工具可以为你省下大量的时间,因为你不用为应用的每次小改变而重新编译运...

24660
来自专栏张首富-小白的成长历程

redis缓存服务器

#你当前没有指定配置文件,以默认的配置文件启动,如果你想指定配置文件你可以redis-server 文件所在位置

66220
来自专栏信安之路

Powershell绕过执行及脚本混淆

为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富...

30300
来自专栏FreeBuf

Wolf CMS 新旧两个版本中的文件上传漏洞分析

一、Wolfcms简介 Wolf CMS是一款内容管理系统(CMS),是在GNUGeneral Public License v3下发布的免费软件。Wolf C...

40650
来自专栏追不上乌龟的兔子

用.NET Core构建安全的容器化的微服务

微服务热潮正在如火如荼地进行,也有着充分的理由。它不是每个问题的银弹,但它无疑成为企业软件系统中可扩展性和弹性的实用解决方案。

45740

扫码关注云+社区

领取腾讯云代金券