摘要:關(guān)于如何限速,有兩個(gè)比較出名的算法����,漏桶算法與令牌桶算法,這里對其簡單介紹一下���,最后再實(shí)踐在我發(fā)郵件的中以下是發(fā)送郵件的��,已限制為一分鐘兩次����,你可以通過修改進(jìn)行試驗(yàn)�����。
前段時(shí)間�,我使用了 jwt 來實(shí)現(xiàn)郵箱驗(yàn)證碼的校驗(yàn)與用戶認(rèn)證與登錄�����,還特別寫了一篇文章作為總結(jié)���。
在那篇文章中,提到了一個(gè)點(diǎn)���,如何限速����。
在短信驗(yàn)證碼和郵箱驗(yàn)證碼�����,如果不限速���,被惡意攻擊造成大量的 QPS���,不僅拖垮了服務(wù),也會(huì)心疼如水的資費(fèi)�。鑒于君子固窮的原則��,在我的郵箱服務(wù)里加上限速。
關(guān)于如何限速����,有兩個(gè)比較出名的算法,漏桶算法與令牌桶算法�,這里對其簡單介紹一下,最后再實(shí)踐在我發(fā)郵件的API中
以下是發(fā)送郵件的 API��,已限制為一分鐘兩次����,你可以通過修改 email 進(jìn)行試驗(yàn)。你也可以在我的站點(diǎn)直接試驗(yàn)
curl "https://graphql.xiange.tech/graphql" -H "Content-Type: application/json" --data-binary "{"query":"mutation SEND($email: String!) {
sendEmailVerifyCode (email: $email)
}","variables":{"email":"[email protected]"}}"
以下是我關(guān)于登錄實(shí)踐的系列文章
【登錄那些事】實(shí)現(xiàn) Material Design 的登錄樣式
【登錄那些事】使用 jwt 登錄與校驗(yàn)驗(yàn)證碼
【登錄那些事】郵件發(fā)送���,限流�����,漏桶與令牌桶
本文地址:https://shanyue.tech/post/rat...
Leaky Bucket (漏桶算法)
漏桶算法表示水滴(請求)先進(jìn)入到漏桶里���,漏桶(bucket)以一定的速度出水,當(dāng)漏桶中水滿時(shí)�����,無法再加水。
維護(hù)一個(gè)計(jì)數(shù)器作為 bucket�����,計(jì)數(shù)器的上限為 bucket 的大小
計(jì)數(shù)器滿時(shí)拒絕請求
每隔一段時(shí)間清空計(jì)數(shù)器
用 option 代表在 option.window 的窗口時(shí)間內(nèi)最多可以通過 option.max 次請求
以下是使用 redis 的計(jì)數(shù)器實(shí)現(xiàn)限流的偽代碼
const option = {
max: 10, // window 時(shí)間內(nèi)限速10個(gè)請求
window: 1000 // 1s
}
function access(req) {
// 根據(jù)請求生成唯一標(biāo)志
const key = identity(req)
// 計(jì)數(shù)器自增
const counter = redis.incr(key)
if (counter === 1) {
// 如果是當(dāng)前時(shí)間窗口的第一個(gè)請求����,設(shè)置過期時(shí)間
redis.expire(key, window)
}
if (counter > option.window) {
return false
}
return true
}
這里有 Redis 官方使用 INCR 實(shí)現(xiàn)限流的文檔 https://redis.io/commands/INCR
此時(shí)有一個(gè)不算問題的問題,就是它的時(shí)間窗口并不是滑動(dòng)窗口那樣在桶里出去一個(gè)球�,就可以再進(jìn)來一個(gè)球。而更像是一個(gè)固定時(shí)間窗口��,從桶里出去一群球��,再開始進(jìn)球�����。正因?yàn)槿绱?,它可能在固定窗口的后一半時(shí)間收到 max-1 次請求,又在下一個(gè)固定窗口內(nèi)打來 max 次請求���,此時(shí)在一個(gè)隨機(jī)的窗口時(shí)間內(nèi)最多會(huì)有 2 * max - 1 次請求��。
另外還有一個(gè)redis的 INCR 與 EXPIRE 的原子性問題�,容易造成 Race Condition,可以通過 SETNX 來解決
redis.set(key, 0, "EX", option.window, "NX")
另外也可以通過一個(gè) LUA 腳本來搞定���,顯然還是 SETNX 簡單些
local current
current = redis.call("incr",KEYS[1])
if tonumber(current) == 1 then
redis.call("expire",KEYS[1],1)
end
為了解決 2N 的問題,可以由維護(hù)一個(gè)計(jì)數(shù)器�����,更改為維護(hù)一個(gè)隊(duì)列�����。代價(jià)是內(nèi)存占用空間過高���,且更難解決 Race Condition
以下是使用 redis 的 set/get string 實(shí)現(xiàn)的限流
const option = {
max: 10, // window 時(shí)間內(nèi)限速10個(gè)請求
window: 1000 // 1s
}
function access(req) {
// 根據(jù)請求生成唯一標(biāo)志
const key = identity(req)
const current = Date.now()
// cache 視為緩存對象
// 篩選出當(dāng)前時(shí)間窗口的請求個(gè)數(shù)���,每個(gè)請求標(biāo)志為時(shí)間戳的格式
// 為了簡單這里不做 json 的序列化和反序列化了...
const timestamps = [current].concat(redis.get("timestamps")).filter(ts => ts + option.window > current)
if (timestamps.length > option.max) {
return false
}
// 此時(shí)讀寫不同步,會(huì)有 Race Condition 問題
redis.set("timestamps", timestamps, "EX", option.window)
return true
}
這里再使用一個(gè) LUA 腳本解決 Race Condition 的問題
TODO
Token Bucket (令牌桶算法)
由圖先看一看令牌桶與漏桶的不同
令牌桶初始狀態(tài) bucket 是滿的����,漏桶初始狀態(tài) bucket 是空的
令牌桶在 bucket 空的時(shí)候拒絕新的請求,漏桶在 bucket 滿的時(shí)候拒絕新的請求
當(dāng)一個(gè)請求來臨時(shí)��,假設(shè)一個(gè)請求消耗一個(gè)token,令牌桶的 bucket 減少一個(gè) token�����,漏桶增加一個(gè) token
以下使用 redis 實(shí)現(xiàn)令牌桶
TODO
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/104139.html
