使用PHP结合Redis的ZSET实现滑动窗口限流,通过记录时间戳精确控制单位时间内请求次数,相比固定窗口更平滑高效;利用zRemRangeByScore清除过期请求,zCard统计当前请求数,zAdd添加新请求,并设置expire避免内存泄漏;以用户ID或IP作为键实现细粒度控制,配合IP限流、验证码、黑名单及Nginx层限流增强防护,有效抵御高频攻击,保障系统稳定。
防止接口被恶意频繁调用,关键是控制单位时间内的请求次数。使用 PHP 结合 Redis 实现滑动窗口限流是一种高效、精准的解决方案。相比简单的计数限流,滑动窗口能更平滑地控制流量,避免突发请求造成系统压力。
滑动窗口限流原理
滑动窗口通过记录每次请求的时间戳,判断在指定时间窗口(如 60 秒)内请求次数是否超过阈值。与固定窗口不同,滑动窗口会动态“滑动”时间范围,例如当前请求时间为 T,则只统计 T-60s 到 T 之间的请求数,更加精确。
Redis 的有序集合(ZSET)非常适合实现这一机制,可以按时间排序并自动清理过期数据。
使用 Redis + PHP 实现滑动窗口
以下是基于 Redis ZSET 的 PHP 示例代码:
立即学习“PHP免费学习笔记(深入)”;
function isAllowed($userId, $maxRequests = 100, $windowSeconds = 60) {
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$key = "rate_limit:{$userId}";
$now = microtime(true); // 使用微秒级时间戳更精确
// 移除窗口外的旧请求
$redis->zRemRangeByScore($key, 0, $now - $windowSeconds);
// 获取当前窗口内的请求数
$currentRequests = $redis->zCard($key);
if ($currentRequests < $maxRequests) {
// 添加当前请求时间戳
$redis->zAdd($key, $now, $now);
// 设置过期时间,避免长期占用内存
$redis->expire($key, $windowSeconds);
return true;
}
return false;}
// 在接口入口调用
if (!isAllowed($_SERVER['REMOTE_ADDR'], 100, 60)) {
http_response_code(429);
echo json_encode(['error' => '请求过于频繁,请稍后再试']);
exit;
}
说明:
- $userId 可以是用户 ID、IP 地址或 Token,用于区分不同调用者
- ZSET 中 score 和 member 都存时间戳,便于按时间删除和统计
- microtime(true) 提供更高精度,适合高并发场景
- expire 设置确保即使不主动清理,过期后也会被 Redis 自动删除
增强防护策略
单一限流不够?结合以下方式提升安全性:
- 对未登录用户使用 IP 限流,登录用户使用 UID 限流
- 敏感接口增加图形验证码或 Token 校验
- 记录频繁触发限流的 IP,加入临时黑名单
- 配合 Nginx 层限流,减轻 PHP 层压力
基本上就这些。滑动窗口限流逻辑清晰,实现简单,配合 Redis 高性能读写,能有效抵御大多数高频请求攻击。关键是合理设置窗口大小和阈值,平衡用户体验与系统安全。
