節流解釋:管理 API 請求限制的指南
瀏覽:405
什么时候应该在代码中实施限制?
对于大型项目,通常最好使用 Cloudflare Rate Limiting 或 HAProxy 等工具。这些功能强大、可靠,可以为您处理繁重的工作。
但是对于较小的项目——或者如果您想了解事情是如何工作的——您可以在代码中创建自己的速率限制器。为什么?
- 很简单:您将构建一些简单、易于理解的东西。
- 预算友好:除了托管服务器之外,无需额外费用。
- 它适用于小型项目:只要流量较低,它就能保持快速高效。
- 它是可重用的:您可以将其复制到其他项目中,而无需设置新的工具或服务。
你将学到什么
在本指南结束时,您将了解如何在 TypeScript 中构建基本的节流器以保护您的 API 不被淹没。我们将介绍以下内容:
- 可配置的时间限制:每次被阻止的尝试都会增加锁定持续时间以防止滥用。
- Request Caps:设置允许的最大请求数。这对于涉及付费服务的 API 尤其有用,例如 OpenAI。
- 内存存储:无需 Redis 等外部工具即可工作的简单解决方案,非常适合小型项目或原型。
- 每用户限制:使用 IPv4 地址跟踪每个用户的请求。我们将利用 SvelteKit 的内置方法轻松检索客户端 IP。
本指南旨在作为一个实用的起点,非常适合想要学习基础知识而又不想太复杂的开发人员。 但它还没有准备好生产。
在开始之前,我想对 Lucia 的速率限制部分给予正确的评价。
节流器实施
让我们定义 Throttler 类:
export class Throttler {
private storage = new Map();
constructor(private timeoutSeconds: number[]) {}
}
Throttler 构造函数接受超时持续时间 (timeoutSeconds) 列表。每次用户被阻止时,持续时间都会根据此列表逐渐增加。最终,当达到最终超时时,您甚至可以触发回调以永久禁止用户的 IP - 尽管这超出了本指南的范围。
以下是创建阻止用户增加间隔的节流器实例的示例:
const throttler = new Throttler([1, 2, 4, 8, 16]);
此实例第一次会阻止用户一秒钟。两人第二次,以此类推。
我们使用 Map 来存储 IP 地址及其相应的数据。映射是理想的选择,因为它可以有效地处理频繁的添加和删除。
专业提示:使用地图来处理经常变化的动态数据。对于静态、不变的数据,对象更好。 (兔子洞1)
当您的端点收到请求时,它会提取用户的 IP 地址并咨询 Throttler 以确定是否应允许该请求。
它是如何运作的
-
案例 A:新用户或不活跃用户
如果在 Throttler 中未找到该 IP,则这可能是用户的第一个请求,或者他们已经处于不活动状态足够长的时间。在这种情况下:- 允许该操作。
- 通过存储用户的 IP 并设置初始超时来跟踪用户。
-
案例 B:活跃用户
如果找到该IP,则说明该用户之前曾发出过请求。这里:- 检查自最后一个块以来是否已经过了所需的等待时间(基于 timeoutSeconds 数组)。
- 如果已经过去了足够的时间:
- 更新时间戳。
- 增加超时索引(上限为最后一个索引以防止溢出)。
- 如果不是,则拒绝该请求。
在后一种情况下,我们需要检查自上一个块以来是否已经过去了足够的时间。通过索引,我们知道应该引用哪个 timeoutSeconds。如果没有,只需反弹即可。否则更新时间戳。
export class Throttler {
// ...
public consume(key: string): boolean {
const counter = this.storage.get(key) ?? null;
const now = Date.now();
// Case A
if (counter === null) {
// At next request, will be found.
// The index 0 of [1, 2, 4, 8, 16] returns 1.
// That's the amount of seconds it will have to wait.
this.storage.set(key, {
index: 0,
updatedAt: now
});
return true; // allowed
}
// Case B
const timeoutMs = this.timeoutSeconds[counter.index] * 1000;
const allowed = now - counter.updatedAt >= timeoutMs;
if (!allowed) {
return false; // denied
}
// Allow the call, but increment timeout for following requests.
counter.updatedAt = now;
counter.index = Math.min(counter.index 1, this.timeoutSeconds.length - 1);
this.storage.set(key, counter);
return true; // allowed
}
}
更新索引时,上限为timeoutSeconds的最后一个索引。如果没有它,counter.index 1 就会溢出,接下来访问 this.timeoutSeconds[counter.index] 将导致运行时错误。
端点示例
此示例演示如何使用 Throttler 来限制用户调用 API 的频率。如果用户发出太多请求,他们会收到错误,而不是运行主逻辑。
const throttler = new Throttler([1, 2, 4, 8, 16, 30, 60, 300]);
export async function GET({ getClientAddress }) {
const IP = getClientAddress();
if (!throttler.consume(IP)) {
throw error(429, { message: 'Too Many Requests' });
}
// Read from DB, call OpenAI - do the thing.
return new Response(null, { status: 200 });
}
认证注意事项
当对登录系统使用速率限制时,您可能会遇到这个问题:
- 用户登录,触发 Throttler 将超时与其 IP 关联起来。
- 用户注销或会话结束(例如,立即注销、cookie 随会话过期和浏览器崩溃等)。
- 当他们不久后尝试再次登录时,Throttler 可能仍会阻止他们,返回 429 Too Many Requests 错误。
为了防止这种情况,请使用用户的唯一用户ID而不是他们的IP进行速率限制。此外,您必须在成功登录后重置节流器状态,以避免不必要的阻塞。
在 Throttler 类中添加一个重置方法:
export class Throttler {
// ...
public reset(key: string): void {
this.storage.delete(key);
}
}
登录成功后使用:
const user = db.get(email);
if (!throttler.consume(user.ID)) {
throw error(429);
}
const validPassword = verifyPassword(user.password, providedPassword);
if (!validPassword) {
throw error(401);
}
throttler.reset(user.id); // Clear throttling for the user
通过定期清理来管理过时的 IP 记录
当您的节流器跟踪 IP 和速率限制时,重要的是要考虑如何以及何时删除不再需要的 IP 记录。如果没有清理机制,您的节流器将继续在内存中存储记录,随着数据的增长,可能会导致性能问题。
为了防止这种情况,您可以实现清理功能,在一定时间不活动后定期删除旧记录。以下是如何添加简单的清理方法以从节流器中删除陈旧条目的示例。
export class Throttler {
// ...
public cleanup(): void {
const now = Date.now()
// Capture the keys first to avoid issues during iteration (we use .delete)
const keys = Array.from(this.storage.keys())
for (const key of keys) {
const counter = this.storage.get(key)
if (!counter) {
// Skip if the counter is already deleted (handles concurrency issues)
return
}
// If the IP is at the first timeout, remove it from storage
if (counter.index == 0) {
this.storage.delete(key)
continue
}
// Otherwise, reduce the timeout index and update the timestamp
counter.index -= 1
counter.updatedAt = now
this.storage.set(key, counter)
}
}
}
安排清理的一个非常简单的方法(但可能不是最好的)是使用 setInterval:
const throttler = new Throttler([1, 2, 4, 8, 16, 30, 60, 300]) const oneMinute = 60_000 setInterval(() => throttler.cleanup(), oneMinute)
这种清理机制有助于确保您的节流器不会无限期地保留旧记录,从而保持应用程序的高效。虽然这种方法简单且易于实现,但可能需要针对更复杂的用例进一步细化(例如,使用更高级的调度或处理高并发)。
通过定期清理,您可以防止内存膨胀,并确保一段时间内未尝试发出请求的用户不再被跟踪 - 这是使您的速率限制系统可扩展且资源高效的第一步。
-
如果您喜欢冒险,您可能有兴趣阅读属性的分配方式及其变化方式。另外,为什么不考虑诸如内联缓存之类的虚拟机优化,单态性特别青睐这种优化。享受。 ↩
-
在 Go 中使用 WebSocket 進行即時通信构建需要实时更新的应用程序(例如聊天应用程序、实时通知或协作工具)需要一种比传统 HTTP 更快、更具交互性的通信方法。这就是 WebSockets 发挥作用的地方!今天,我们将探讨如何在 Go 中使用 WebSocket,以便您可以向应用程序添加实时功能。 在这篇文章中,我们将介绍: WebSoc...程式設計 發佈於2024-12-23 -
插入資料時如何修復「常規錯誤:2006 MySQL 伺服器已消失」?插入記錄時如何解決「一般錯誤:2006 MySQL 伺服器已消失」介紹:將資料插入MySQL 資料庫有時會導致錯誤「一般錯誤:2006 MySQL 伺服器已消失」。當與伺服器的連線遺失時會出現此錯誤,通常是由於 MySQL 配置中的兩個變數之一所致。 解決方案:解決此錯誤的關鍵是調整wait_tim...程式設計 發佈於2024-12-23
-
Bootstrap 4 Beta 中的列偏移發生了什麼事?Bootstrap 4 Beta:列偏移的刪除和恢復Bootstrap 4 在其Beta 1 版本中引入了重大更改柱子偏移了。然而,隨著 Beta 2 的後續發布,這些變化已經逆轉。 從 offset-md-* 到 ml-auto在 Bootstrap 4 Beta 1 中, offset-md-*...程式設計 發佈於2024-12-23
-
儘管程式碼有效,為什麼 POST 請求無法擷取 PHP 中的輸入?解決PHP 中的POST 請求故障在提供的程式碼片段中:action=''而非:action="<?php echo $_SERVER['PHP_SELF'];?>";?>"檢查$_POST陣列:表單提交後使用 var_dump 檢查 $_POST 陣列的內...程式設計 發佈於2024-12-23
-
Go可以存取初始標準輸入流嗎?在 Go 中,您可以存取初始標準輸入嗎? 在 Go 中,使用 os.Stdin 從原始標準輸入讀取應該會產生所需的結果,如圖所示通過這個代碼片段:package main import "os" import "log" import "io&quo...程式設計 發佈於2024-12-23
-
如何在 PHP 中組合兩個關聯數組,同時保留唯一 ID 並處理重複名稱?在 PHP 中組合關聯數組在 PHP 中,將兩個關聯數組組合成一個數組是常見任務。考慮以下請求:問題描述:提供的代碼定義了兩個關聯數組,$array1 和 $array2。目標是建立一個新陣列 $array3,它合併兩個陣列中的所有鍵值對。 此外,提供的陣列具有唯一的 ID,而名稱可能重疊。要求是建...程式設計 發佈於2024-12-23
-
極簡密碼管理器桌面應用程式:進軍 Golang 的 Wails 框架(第 2 部分)Hi again, coders! In the first part of this short series we saw the creation and operation of a desktop application to store and encrypt our passwords...程式設計 發佈於2024-12-23
-
ES6 React 元件:何時使用基於類別與函數式?在ES6 基於類別和函數式ES6 React 元件之間做出選擇使用React 時,開發人員面臨著使用ES6 基於類別的選擇組件或功能ES6 組件。了解每種類型的適當用例對於最佳應用程式開發至關重要。 函數式 ES6 元件:無狀態且簡單函數式元件是無狀態的,這表示它們不維護任何內部狀態。他們只是接收道...程式設計 發佈於2024-12-23
-
如何在 PHP 中找到兩個平面數組之間的唯一值?在平面數組之間查找唯一值給定兩個數組,任務是確定僅存在於其中一個數組中的值。此操作通常稱為尋找兩個集合之間的差異。 在 PHP 中,您可以利用 array_merge、array_diff 和 array_diff 函數來實現此操作。詳細解法如下:$array1 = [64, 98, 112, 92...程式設計 發佈於2024-12-23
-
CSS 可以在內聯區塊元素中本機插入換行符號嗎?CSS 在行內區塊元素中插入換行符:理論探索在不斷發展的Web 開發領域,這種能力操縱內容流仍然是最重要的。經常出現的一個特殊挑戰涉及在內聯區塊元素中插入換行符。 考慮以下 HTML 結構:<h3 id="features">Features</h3> &...程式設計 發佈於2024-12-23
-
如何在 PHP 中輕鬆轉換時區之間的時間和日期?在PHP 中轉換時區之間的時間和日期使用PHP,您可以輕鬆地在不同時區之間轉換時間和日期。此功能在處理全球資料的應用程式或與來自不同位置的使用者一起工作時特別有用。 取得時區偏移量要取得與 GMT 的時間偏移量,您可以使用 DateTimeZone 類別。它提供了時區及其各自偏移量的完整清單。 $t...程式設計 發佈於2024-12-23
-
如何在Windows上安裝並使用Pip進行Python套件管理?Pip:在Windows 上安裝Python 套件的輕鬆方式在Windows 上安裝Python 套件可能是一項艱鉅的任務,特別是如果您在使用EasyInstall 時遇到困難。幸運的是,EasyInstall 的後繼者 Pip 提供了更簡化和簡化的解決方案。 在Windows 上逐步安裝Pip若要...程式設計 發佈於2024-12-23
-
如何在Python的`type()`和`isinstance()`之間進行選擇以進行物件類型檢查?如何確定物件的類型確定物件的類型對於保證資料一致性並相應地執行操作至關重要。 Python 為此目的提供了兩個內建函數:type() 和 isinstance()。 使用 type()type() 函數傳回確切的型別一個物件的。例如:>>> type([]) is list Tru...程式設計 發佈於2024-12-23
學習中文
- 1 走路用中文怎麼說? 走路中文發音,走路中文學習
- 2 坐飛機用中文怎麼說? 坐飞机中文發音,坐飞机中文學習
- 3 坐火車用中文怎麼說? 坐火车中文發音,坐火车中文學習
- 4 坐車用中文怎麼說? 坐车中文發音,坐车中文學習
- 5 開車用中文怎麼說? 开车中文發音,开车中文學習
- 6 游泳用中文怎麼說? 游泳中文發音,游泳中文學習
- 7 騎自行車用中文怎麼說? 骑自行车中文發音,骑自行车中文學習
- 8 你好用中文怎麼說? 你好中文發音,你好中文學習
- 9 謝謝用中文怎麼說? 谢谢中文發音,谢谢中文學習
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
