限流策略指南

算法对比

令牌桶

以固定速率添加令牌。请求消耗令牌。允许突发到桶大小。

✓ 支持突发,平均速率平滑
漏桶

请求排队。以恒定速率处理,无论输入如何。输出非常平滑。

✓ 输出平滑,无突发
固定窗口

每时间窗口允许N个请求(如100/分钟)。窗口边界重置。简单但边界可能突发。

✓ 简单,易理解
滑动窗口

在滚动时间窗口内计数请求。比固定窗口更精确。内存使用更多。

✓ 精确,无边界突发

标准限流响应头

# Response headers (IETF draft standard)
RateLimit-Limit: 100        # max requests per window
RateLimit-Remaining: 45     # requests left
RateLimit-Reset: 1704067200 # Unix timestamp when window resets

# When limit exceeded: 429 Too Many Requests
HTTP/1.1 429 Too Many Requests
Retry-After: 30             # seconds to wait

Redis令牌桶(Go示例)

// Using go-redis with token bucket pattern
func rateLimitCheck(ctx context.Context, rdb *redis.Client, key string, limit int, window time.Duration) bool {
    pipe := rdb.Pipeline()
    now := time.Now().Unix()
    windowStart := now - int64(window.Seconds())

    // Remove expired entries
    pipe.ZRemRangeByScore(ctx, key, "-inf", strconv.FormatInt(windowStart, 10))
    // Count current window
    pipe.ZCard(ctx, key)
    // Add new request
    pipe.ZAdd(ctx, key, &redis.Z{Score: float64(now), Member: now})
    pipe.Expire(ctx, key, window)

    results, _ := pipe.Exec(ctx)
    count := results[1].(*redis.IntCmd).Val()
    return count < int64(limit)
}

不同API类型建议限制

API类型典型限制说明
公开读取API1000/hour未认证用户
认证API5000/hour每API key
写入/修改API100/minute每用户
登录端点10/minute防暴力破解
邮件/短信发送5/minute每用户每操作

相关工具推荐

🌍 IP 地址查询 查询 IP 地址的地理位置信息 🔍 DNS 查询 查询域名的 A/AAAA/MX/TXT 记录 🌐 WHOIS 域名查询 查询域名注册信息、到期时间和DNS 🔒 DNS 泄露检测 检测VPN是否泄露DNS请求 🔐 TLS/JA3 指纹检测 检测浏览器TLS指纹和JA3哈希 📡 WebRTC 泄露检测 检测WebRTC是否泄露真实IP地址 🔍 浏览器指纹检测 Canvas/WebGL/音频/字体指纹检测 🌐 IP/HTTP头泄露检测 IPv6泄露和HTTP代理头泄露检测 📍 地理位置泄露检测 检测浏览器定位API是否暴露位置 🔎 域名情报查询 DNS全记录/邮件系统/托管CDN/安全检测 🏷️ 域名注册查询 批量查询域名是否可注册 📋 HTTP 状态码 HTTP 状态码含义速查手册