使用令牌桶或Redis实现限流,单机用rate.Limiter,分布式用Redis+Lua,结合中间件防刷,保障服务稳定。
在高并发场景下,Golang 实现请求限流和防刷是保障服务稳定性的关键手段。通过限制单位时间内客户端的请求次数,可以有效防止恶意刷接口、爬虫攻击或突发流量压垮后端服务。常见的实现方式包括令牌桶、漏桶算法,结合内存或 Redis 存储进行控制。
使用令牌桶算法限流
Go 标准库 golang.org/x/time/rate 提供了基于令牌桶的限流器实现,简单高效,适合单机场景。
基本用法如下:
package mainimport ("fmt""time""golang.org/x/time/rate")
func main() {// 每秒允许 5 个请求,最多容纳 10 个突发请求limiter := rate.NewLimiter(5, 10)
for i := 0; i < 20; i++ { if !limiter.Allow() { fmt.Println("请求被限流") continue } fmt.Printf("处理请求 %dn", i) time.Sleep(100 * time.Millisecond)}
}
立即学习“go语言免费学习笔记(深入)”;
这种方式适用于单个服务实例,但无法跨节点共享状态,不适用于分布式环境。
基于 Redis 的分布式限流
在微服务或多实例部署中,需使用 Redis 实现分布式限流。常用算法是滑动窗口或固定窗口计数。
示例:使用 Redis + Lua 脚本实现 IP 级别每分钟最多 60 次请求:
-- limit.lualocal key = KEYS[1]local limit = tonumber(ARGV[1])local expire_time = ARGV[2]local current = redis.call("INCR", key)if current == 1 thenredis.call("EXPIRE", key, expire_time)endreturn current <= limit and 1 or 0
Go 中调用:
import ( "context" "github.com/go-redis/redis/v8")var ctx = context.Background()
func isAllowed(client *redis.Client, ip string) bool {script := redis.NewScript(
local key = KEYS[1] local limit = tonumber(ARGV[1]) local expire_time = ARGV[2] local current = redis.call("INCR", key) if current == 1 then redis.call("EXPIRE", key, expire_time) end return current <= limit and 1 or 0)result, err := script.Run(ctx, client, []string{"rate_limit:" + ip}, 60, 60).Int()return err == nil && result == 1
}
立即学习“go语言免费学习笔记(深入)”;
该方法可保证多个服务实例共享限流状态,适合生产环境。
结合中间件实现 HTTP 接口防刷
在 Web 服务中,可通过 Gin 或其他框架的中间件统一拦截请求并做限流判断。
例如 Gin 中间件示例:
func RateLimitMiddleware(client *redis.Client) gin.HandlerFunc { return func(c *gin.Context) { ip := c.ClientIP() if !isAllowed(client, ip) { c.JSON(429, gin.H{"error": "请求过于频繁,请稍后再试"}) c.Abort() return } c.Next() }}// 使用r := gin.Default()r.Use(RateLimitMiddleware(redisClient))r.GET("/api/data", getDataHandler)r.Run(":8080")
可根据业务需求扩展为按用户 ID、API Key、设备指纹等维度限流。
增强防刷策略
单纯限流不足以应对复杂刷子,建议结合以下措施:
对敏感接口增加图形验证码或行为验证记录异常访问日志,设置告警机制识别高频失败请求(如登录爆破)自动封禁 IP使用 JWT 或 Token 机制控制接口调用权限
基本上就这些。核心是根据业务规模选择合适方案:单机用 rate.Limiter,分布式用 Redis + Lua,再配合中间件统一管控。安全性和用户体验之间要权衡,避免误伤正常用户。
以上就是Golang如何实现请求限流和防刷的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1415388.html
微信扫一扫 
支付宝扫一扫 
