使用令牌桶或Redis实现限流,单机用rate.Limiter,分布式用Redis+Lua,结合中间件防刷,保障服务稳定。
在高并发场景下,Golang 实现请求限流和防刷是保障服务稳定性的关键手段。通过限制单位时间内客户端的请求次数,可以有效防止恶意刷接口、爬虫攻击或突发流量压垮后端服务。常见的实现方式包括令牌桶、漏桶算法,结合内存或 Redis 存储进行控制。
使用令牌桶算法限流
Go 标准库 golang.org/x/time/rate 提供了基于令牌桶的限流器实现,简单高效,适合单机场景。
基本用法如下:
package main
<p>import (
"fmt"
"time"
"golang.org/x/time/rate"
)</p><p>func main() {
// 每秒允许 5 个请求,最多容纳 10 个突发请求
limiter := rate.NewLimiter(5, 10)</p><pre class='brush:php;toolbar:false;'>for i := 0; i < 20; i++ {
if !limiter.Allow() {
fmt.Println("请求被限流")
continue
}
fmt.Printf("处理请求 %d\n", i)
time.Sleep(100 * time.Millisecond)
}}
立即学习“go语言免费学习笔记(深入)”;
这种方式适用于单个服务实例,但无法跨节点共享状态,不适用于分布式环境。
基于 Redis 的分布式限流
在微服务或多实例部署中,需使用 Redis 实现分布式限流。常用算法是滑动窗口或固定窗口计数。
示例:使用 Redis + Lua 脚本实现 IP 级别每分钟最多 60 次请求:
-- limit.lua
local key = KEYS[1]
local limit = tonumber(ARGV[1])
local expire_time = ARGV[2]
<p>local current = redis.call("INCR", key)
if current == 1 then
redis.call("EXPIRE", key, expire_time)
end
return current <= limit and 1 or 0</p>Go 中调用:
import (
"context"
"github.com/go-redis/redis/v8"
)
<p>var ctx = context.Background()</p><div class="aritcle_card flexRow">
<div class="artcardd flexRow">
<a class="aritcle_card_img" href="/ai/1823" title="DreamStudio"><img
src="https://img.php.cn/upload/ai_manual/000/969/633/68b6cb5b2cc8f528.jpeg" alt="DreamStudio" onerror="this.onerror='';this.src='/static/lhimages/moren/morentu.png'" ></a>
<div class="aritcle_card_info flexColumn">
<a href="/ai/1823" title="DreamStudio">DreamStudio</a>
<p>SD兄弟产品!AI 图像生成器</p>
</div>
<a href="/ai/1823" title="DreamStudio" class="aritcle_card_btn flexRow flexcenter"><b></b><span>下载</span> </a>
</div>
</div><p>func isAllowed(client *redis.Client, ip string) bool {
script := redis.NewScript(<code> local key = KEYS[1] local limit = tonumber(ARGV[1]) local expire_time = ARGV[2] local current = redis.call("INCR", key) if current == 1 then redis.call("EXPIRE", key, expire_time) end return current <= limit and 1 or 0 </code>)</p><pre class='brush:php;toolbar:false;'>result, err := script.Run(ctx, client, []string{"rate_limit:" + ip}, 60, 60).Int()
return err == nil && result == 1}
立即学习“go语言免费学习笔记(深入)”;
该方法可保证多个服务实例共享限流状态,适合生产环境。
结合中间件实现 HTTP 接口防刷
在 Web 服务中,可通过 Gin 或其他框架的中间件统一拦截请求并做限流判断。
例如 Gin 中间件示例:
func RateLimitMiddleware(client *redis.Client) gin.HandlerFunc {
return func(c *gin.Context) {
ip := c.ClientIP()
if !isAllowed(client, ip) {
c.JSON(429, gin.H{"error": "请求过于频繁,请稍后再试"})
c.Abort()
return
}
c.Next()
}
}
<p>// 使用
r := gin.Default()
r.Use(RateLimitMiddleware(redisClient))
r.GET("/api/data", getDataHandler)
r.Run(":8080")</p>可根据业务需求扩展为按用户 ID、API Key、设备指纹等维度限流。
增强防刷策略
单纯限流不足以应对复杂刷子,建议结合以下措施:
- 对敏感接口增加图形验证码或行为验证
- 记录异常访问日志,设置告警机制
- 识别高频失败请求(如登录爆破)自动封禁 IP
- 使用 JWT 或 Token 机制控制接口调用权限
基本上就这些。核心是根据业务规模选择合适方案:单机用 rate.Limiter,分布式用 Redis + Lua,再配合中间件统一管控。安全性和用户体验之间要权衡,避免误伤正常用户。
