龙空技术网

第 14 篇:限制接口的访问频率

HelloGitHub 3083

前言:

此时兄弟们对“接口请求频率限制”都比较珍视,你们都需要剖析一些“接口请求频率限制”的相关内容。那么小编也在网摘上网罗了一些关于“接口请求频率限制””的相关内容,希望看官们能喜欢,我们一起来了解一下吧!

作者:HelloGitHub-追梦人物

限流,顾名思义,就是限制对 API 的调用频率。每一次 API 调用,都要花费服务器的资源,因此很多 API 不会对用户无限次地开放,请求达到某个次数后就不再允许访问了,或者一段时间内,最多只允许访问 API 指定次数。

目前,我们的接口是没有任何限流措施的,只要用户调用接口,服务器就会处理并返回数据。为了防止接口被恶意用户刷爆,我们来给接口限流。

上一篇中我们已经整理了接口并加入了缓存,我们的限流政策可以根据缓存的设置情况来制定。对于缓存时间较长的接口,可以适当放宽限制,而对于可能需要访问数据库的接口,则进行严格的限制。

django-rest-framework 为我们提供了 2 个常用的限流功能辅助类,分别是 AnonRateThrottle 和 UserRateThrottle。AnonRateThrottle 用于限制未认证用户的访问频率,限制依据是用户的 ip。UserRateThrottle 用于限定认证用户,即网站的注册用户(目前我们博客不支持用户登录注册,所以这个类没什么用)。两个类可以用于同一 API,以便对不同类型的用户实施不同的限流政策。

这两个辅助类限制频率的指定格式为 "最大访问次数/时间间隔",例如设置为 10/min,则只允许一分钟内最多调用接口 10 次。超过限定次数的调用将抛出 exceptions.Throttled 异常,客户端收到 429 状态码(too many requests)的响应。

再次根据已有 API 列表和缓存情况来分析一下我们的限流政策:

补充说明:

首页文章列表 API:有缓存,正常用户不会访问太频繁,限定 10/min文章详情 API:有缓存,正常用户不会访问太频繁,限定 10/min分类、标签、归档日期列表,有缓存,正常用户不会访问太频繁,限定 10/min评论列表,有缓存,正常用户不会访问太频繁,限定 10/min搜索接口,正常用户不会访问太频繁,限定 5/min

接口限流规则制定好后,接下来就设置限流辅助类就可以了。

启用限流有 2 种方式,一是全局设置,二是单个视图设置,单个视图的设置会覆盖全局设置。因为几乎所有接口都是对匿名用户限流,因此先来进行全局设置。在项目配置文件 common.py 中找到 REST_FRAMEWORK 配置项,加入如下配置:

# filename="common.py"REST_FRAMEWORK = {    'DEFAULT_THROTTLE_CLASSES': [        'rest_framework.throttling.AnonRateThrottle',    ],    'DEFAULT_THROTTLE_RATES': {        'anon': '10/min',    }}

这样,所有接口访问频率均被设置为 10/min。

对于搜索接口,我们制定的限流规则是 5/min,因此我们对这个视图集的限流类进行单独设置。

因为全局配置中,默认设置的限流频率为 10/min,为了将限流类的默认频率设置为 5/min,我们需要继承原限流类覆盖它的 THROTTLE_RATES 属性,代码非常简单:

# filename="blog/views.py"from rest_framework.throttling import AnonRateThrottleclass PostSearchAnonRateThrottle(AnonRateThrottle):    THROTTLE_RATES = {"anon": "5/min"}

接着在搜索接口的视图集中通过 throttle_classes 指定这个限流类:

# filename="blog/views.py"class PostSearchView(HaystackViewSet):    index_models = [Post]    serializer_class = PostHaystackSerializer    throttle_classes = [PostSearchAnonRateThrottle]

我们来测试一下,限流是否真的起了作用。

首先来测试 10/min 访问限制的接口,以文章列表接口 api/v1/posts/ 为例,在连续访问 10 次后,接口返回了如下结果:

HTTP 429 Too Many Requests Allow: GET, HEAD, OPTIONS Content-Type: application/json Retry-After: 52 Vary: Accept

{ "detail": "请求超过了限速。Expected available in 52 seconds." }

一分钟后重新访问又恢复了正常。

再来测试一下搜索接口,访问 /api/v1/search/?text=markdown,在连续刷新 5 次后,接口返回如下结果:

HTTP 429 Too Many Requests Allow: GET, HEAD, OPTIONS Content-Type: application/json Retry-After: 26 Vary: Accept

{ "detail": "请求超过了限速。Expected available in 26 seconds." }

一分钟后重新访问又恢复了正常。

!!! note "注意"

因为搜索功能依赖 Elasticsearch 服务,因此测试接口时需要运行 Docker 容器,可参考《基于 drf-haystack 实现文章搜索接口》这篇文章。

标签: #接口请求频率限制 #接口请求频率限制怎么解除 #ip访问次数限制方案