我的网站的合法用户偶尔会用API请求猛攻服务器,导致不良结果。我想实施一个限制,比如每5秒钟或每分钟n次调用一次API(还没有确定确切的限制)。显然,我可以在数据库中记录每个API调用并在每个请求上进行计算以查看它们是否超过了限制,但每个请求上的所有这些额外开销将打击其本意。还有什么其他资源占用较少的方法可以用来实施限制吗?我使用的是PHP / Apache / Linux,如果有用的话。
我的网站的合法用户偶尔会用API请求猛攻服务器,导致不良结果。我想实施一个限制,比如每5秒钟或每分钟n次调用一次API(还没有确定确切的限制)。显然,我可以在数据库中记录每个API调用并在每个请求上进行计算以查看它们是否超过了限制,但每个请求上的所有这些额外开销将打击其本意。还有什么其他资源占用较少的方法可以用来实施限制吗?我使用的是PHP / Apache / Linux,如果有用的话。
好的,没有任何方法可以在不向服务器进行任何写入的情况下完成我所要求的操作,但我至少可以消除每个请求的日志记录。其中一种方法是使用“漏桶”限流方法,在该方法中它只会跟踪最后一个请求($last_api_request
)和时间范围内请求数量/限制比率($minute_throttle
)。漏桶永远不会重置其计数器(与Twitter API的限速不同,后者每小时重置一次),但如果漏桶变满(用户达到限制),他们必须等待n
秒钟让漏桶空出一些才能发起另一个请求。换句话说,这就像是一个滚动限制:如果在时间范围内有先前的请求,则它们会慢慢地从漏桶中泄漏出来;它仅在您填满漏桶时才对您进行限制。
此代码片段将在每个请求上计算一个新的$minute_throttle
值。我在$minute_throttle
中指定了分钟,因为您可以针对任何时间段(例如每小时、每日等)添加限流,尽管添加多个会很快使用户感到混乱。
$minute = 60;
$minute_limit = 100; # users are limited to 100 requests/minute
$last_api_request = $this->get_last_api_request(); # get from the DB; in epoch seconds
$last_api_diff = time() - $last_api_request; # in seconds
$minute_throttle = $this->get_throttle_minute(); # get from the DB
if ( is_null( $minute_limit ) ) {
$new_minute_throttle = 0;
} else {
$new_minute_throttle = $minute_throttle - $last_api_diff;
$new_minute_throttle = $new_minute_throttle < 0 ? 0 : $new_minute_throttle;
$new_minute_throttle += $minute / $minute_limit;
$minute_hits_remaining = floor( ( $minute - $new_minute_throttle ) * $minute_limit / $minute );
# can output this value with the request if desired:
$minute_hits_remaining = $minute_hits_remaining >= 0 ? $minute_hits_remaining : 0;
}
if ( $new_minute_throttle > $minute ) {
$wait = ceil( $new_minute_throttle - $minute );
usleep( 250000 );
throw new My_Exception ( 'The one-minute API limit of ' . $minute_limit
. ' requests has been exceeded. Please wait ' . $wait . ' seconds before attempting again.' );
}
# Save the values back to the database.
$this->save_last_api_request( time() );
$this->save_throttle_minute( $new_minute_throttle );
$minute_limit
会为空吗? - Noam Rathaus$minute_throttle
,因为它来自数据库。 - Sljuxuse bandwidthThrottle\tokenBucket\Rate;
use bandwidthThrottle\tokenBucket\TokenBucket;
use bandwidthThrottle\tokenBucket\storage\FileStorage;
$storage = new FileStorage(__DIR__ . "/api.bucket");
$rate = new Rate(10, Rate::SECOND);
$bucket = new TokenBucket(10, $rate, $storage);
$bucket->bootstrap(10);
if (!$bucket->consume(1, $seconds)) {
http_response_code(429);
header(sprintf("Retry-After: %d", floor($seconds)));
exit();
}
最简单的解决方案是为每个API密钥限制24小时内的请求数量,并在某个已知、固定的时间重置它们。
如果他们用尽了API请求(即计数器达到零或上限,具体取决于您计数的方向),请停止为他们提供数据,直到您重置他们的计数器。
这样一来,对于他们来说,不通过大量请求来攻击你才是最有利的。
我不知道这个帖子是否还活着,但我建议将这些统计数据存储在内存缓存中,例如memcached。这样可以减少记录请求到数据库的开销,但仍然能够实现目的。
你说“每个请求上的额外开销会打败目的”,但我不确定这是正确的。难道目的不是为了防止服务器被攻击吗?这可能是我实现它的方式,因为它只需要快速读/写。如果你担心性能问题,甚至可以将API服务器检查分配到不同的数据库/磁盘。
然而,如果你想要其他选择,你应该看看mod_cband,这是一个第三方Apache模块,旨在帮助限制带宽。尽管主要用于带宽限制,但也可以根据每秒请求数进行限制。我从未使用过它,所以我不确定你会得到什么样的结果。还有另一个名为mod-throttle的模块,但该项目似乎已经关闭,而且从未发布过任何高于Apache 1.3系列的版本。
使用会话(session)不能轻松地完成这个问题吗?
将 microtime()
与 $_SESSION['last_access_microtime']
进行比较。