使用令牌桶或Redis实现限流,单机用rate.Limiter,分布式用Redis+Lua,结合中间件防刷,保障服务稳定。
在高并发场景下,Golang 实现请求限流和防刷是保障服务稳定性的关键手段。通过限制单位时间内客户端的请求次数,可以有效防止恶意刷接口、爬虫攻击或突发流量压垮后端服务。常见的实现方式包括令牌桶、漏桶算法,结合内存或 Redis 存储进行控制。
使用令牌桶算法限流
Go 标准库 golang.org/x/time/rate 提供了基于令牌桶的限流器实现,简单高效,适合单机场景。
基本用法如下:
package mainimport ( "fmt" "time" "golang.org/x/time/rate" )
func main() { // 每秒允许 5 个请求,最多容纳 10 个突发请求 limiter := rate.NewLimiter(5, 10)
for i := 0; i < 20; i++ { if !limiter.Allow() { fmt.Println("请求被限流") continue } fmt.Printf("处理请求 %d\n", i) time.Sleep(100 * time.Millisecond) }}
立即学习“go语言免费学习笔记(深入)”;
这种方式适用于单个服务实例,但无法跨节点共享状态,不适用于分布式环境。
基于 Redis 的分布式限流
在微服务或多实例部署中,需使用 Redis 实现分布式限流。常用算法是滑动窗口或固定窗口计数。
示例:使用 Redis + Lua 脚本实现 IP 级别每分钟最多 60 次请求:
-- limit.lua local key = KEYS[1] local limit = tonumber(ARGV[1]) local expire_time = ARGV[2]local current = redis.call("INCR", key) if current == 1 then redis.call("EXPIRE", key, expire_time) end return current <= limit and 1 or 0
Go 中调用:
import (
"context"
"github.com/go-redis/redis/v8"
)
var ctx = context.Background()
func isAllowed(client *redis.Client, ip string) bool {
script := redis.NewScript( local key = KEYS[1] local limit = tonumber(ARGV[1]) local expire_time = ARGV[2] local current = redis.call("INCR", key) if current == 1 then redis.call("EXPIRE", key, expire_time) end return current zuojiankuohaophpcn= limit and 1 or 0 )
result, err := script.Run(ctx, client, []string{"rate_limit:" + ip}, 60, 60).Int()
return err == nil && result == 1}
立即学习“go语言免费学习笔记(深入)”;
该方法可保证多个服务实例共享限流状态,适合生产环境。
结合中间件实现 HTTP 接口防刷
在 Web 服务中,可通过 Gin 或其他框架的中间件统一拦截请求并做限流判断。
例如 Gin 中间件示例:
func RateLimitMiddleware(client *redis.Client) gin.HandlerFunc {
return func(c *gin.Context) {
ip := c.ClientIP()
if !isAllowed(client, ip) {
c.JSON(429, gin.H{"error": "请求过于频繁,请稍后再试"})
c.Abort()
return
}
c.Next()
}
}
// 使用
r := gin.Default()
r.Use(RateLimitMiddleware(redisClient))
r.GET("/api/data", getDataHandler)
r.Run(":8080")
可根据业务需求扩展为按用户 ID、API Key、设备指纹等维度限流。
增强防刷策略
单纯限流不足以应对复杂刷子,建议结合以下措施:
- 对敏感接口增加图形验证码或行为验证
- 记录异常访问日志,设置告警机制
- 识别高频失败请求(如登录爆破)自动封禁 IP
- 使用 JWT 或 Token 机制控制接口调用权限
基本上就这些。核心是根据业务规模选择合适方案:单机用 rate.Limiter,分布式用 Redis + Lua,再配合中间件统一管控。安全性和用户体验之间要权衡,避免误伤正常用户。
