使用令牌桶算法结合IP限流与行为分析,通过rate.Limiter和Redis+Lua实现分布式请求控制,辅以多层防护策略有效防刷。
在高并发场景下,Golang 实现请求限流与防刷机制能有效防止系统被恶意刷接口或突发流量压垮。核心思路是控制单位时间内的请求数量,结合客户端标识做差异化限制。以下是几种常见且实用的实现方式。
使用令牌桶算法进行限流
令牌桶算法是一种经典的限流策略,允许一定程度的突发流量,同时保证长期速率可控。
Golang 标准库 golang.org/x/time/rate 提供了开箱即用的令牌桶实现:
- 利用 rate.Limiter 控制每秒最多允许 N 个请求通过
- 可针对全局或每个用户/IP 单独创建限流器
- 支持阻塞等待或快速失败模式
示例代码:
立即学习“go语言免费学习笔记(深入)”;
import "golang.org/x/time/rate"
// 每秒生成 5 个令牌,最多容纳 10 个
limiter := rate.NewLimiter(5, 10)
// 在处理请求前检查是否允许
if !limiter.Allow() {
http.Error(w, "Too Many Requests", http.StatusTooManyRequests)
return
}
// 继续处理业务逻辑
基于客户端 IP 的分布式限流
单一进程内存限流无法应对多实例部署,需借助外部存储实现统一控制。
结合 Redis + Lua 脚本可实现原子性操作,确保分布式环境下一致性:
- 将客户端 IP 作为 key,记录访问次数和时间窗口
- 使用 Redis 的 INCR 和 EXPIRE 原子执行(通过 Lua)
- 例如:/ip/192.168.1.1_1min → 计数器
典型 Lua 脚本逻辑:
local key = KEYS[1]
local limit = tonumber(ARGV[1])
local expire = tonumber(ARGV[2])
local current = redis.call("INCR", key)
if current == 1 then
redis.call("EXPIRE", key, expire)
end
if current > limit then
return 0
end
return 1
Golang 中调用该脚本:
script.Run(ctx, redisClient, []string{ipKey}, "100", "60") // 1分钟最多100次
结合用户身份与行为特征防刷
除了基础频率限制,还可根据用户登录状态、设备指纹、请求参数等综合判断是否为异常行为。
- 已登录用户可放宽限制,未登录或匿名用户严格限制
- 对敏感接口(如登录、注册、短信发送)单独设置规则
- 记录失败次数,连续失败触发临时封禁
例如,短信发送接口可以这样设计:
- 每个手机号每天最多发送 10 次
- 同一 IP 每小时最多请求 20 次
- 两次发送间隔不少于 60 秒
这些规则可通过多个 Redis key 分别计数并校验。
使用第三方中间件简化实现
对于复杂场景,可引入成熟框架减少重复开发:
- uber-go/ratelimit:提供精确的令牌桶实现
- go-micro/plugins/ratelimiter:集成在微服务架构中
- Nginx 或 API 网关层前置限流(如 Kong、Traefik)
建议优先在接入层做粗粒度限流,应用层再做细粒度控制,形成多层防护。
基本上就这些。关键在于根据业务特点选择合适的算法和粒度,避免误伤正常用户,又能有效抵御高频攻击。实际项目中通常组合使用多种手段,提升整体安全性。
