Web API 速率限制(一)

最新推荐文章于 2024-06-14 16:09:50 发布
最新推荐文章于 2024-06-14 16:09:50 发布
阅读量2.9k 收藏
点赞数


导读

当您API有大量消费者或者请求量猛增到影响程序可用性的时候,您可能需要对API进行速率限制。所以对API进行限速的在于:在增加可靠性和可用性的同时来保护基础架构,你不希望某个恶意的API消费者或者差劲的API客户端开发者通过Dos攻击把你的应用搞垮;保护你的产品,你同样不希望你的产品被滥用,例如大规模用户注册或创建很多垃圾内容。

什么是限速


限速(Rate-Limiting)系统可以控制网络接口发送和接受流量的速率。对于Web API来说,限速系统被用来控制一段时间内某个程序或客户端允许调用某个API的次数,超过该次数的流量会被拒绝。例如Github的API只允许开发者每小时发送5000次请求。

640?wx_fmt=jpeg

限速

策略


在对API限速之前,您首先要考虑好限速的策略,通常一个好的限速策略有以下这两个特性:

  • 易于理解,易于解释,易于使用

  • 针对特殊情况,对开发者可以不限速

限速策略需考虑这些

限速策略还需要考虑这些问题

  1. 颗粒速率限制还是全局速率限制

    针对比较简单的系统,很多开发者采用的是全局速率限制,但是如果某个API消费了大量的资源,你可能需要为每个API单独进行速率限制。所以颗粒的速率限制会保护你的基础架构不被任何耗资巨大的API节点所引起的无理流量尖峰造成严重影响。

  2. 测量每个用户、应用、客户端

    你想要进行速率限制的资源还依赖于您的API的身份认证方式。需要用户身份认证的API通常可以按照用户进行速率限制,而需要应用身份认证的API通常是基于每个应用来进行速率限制。对于未认证的API,我能想到的就是按照IP地址进行速率限制。

  3. 是否支持突发流量

    有些API,尤其是企业内部的系统,需要支持超过速率限制的突发流量。这种情况下,可以采用令牌桶算法(Token Bucket)来实现速率限制。

  4. 是否允许例外

    有时候,对于应用的开发者来说,一个限速策略或一组限速策略可能都不太适用。对于你信任的开发者,如果他们的请求超出了配额,可能需要给他们一些例外的允许,但是在此之前,你要做这些工作:

    1. 保证每个开发者的用例对客户来说都是合理有益的。

    2. 要确认确实没有其它不超出约束的办法来达到相同的目的。

    3. 确保你的基础架构确实可以支撑想要请求的速率。

针对 ASP.NET Core Web API

针对ASP.NET Core Web API项目,如果不采用网关的话,我使用的是:

AspNetCoreRateLimit

Github的地址是:

https://github.com/stefanprodan/AspNetCoreRateLimit。

这个我会在后续文章中介绍。

针对API网关

.NET Core的Ocelot网关内置速率限制功能。

https://ocelot.readthedocs.io/en/latest/features/ratelimiting.html

而其它正经的API网关也都有该功能,例如Kong等。Kong的官网有一篇介绍API速率限制算法的文章,讲的很好可以看看:

https://konghq.com/blog/how-to-design-a-scalable-rate-limiting-algorithm/

我也会在下一篇文章中介绍API速率限制的几种算法。

且听下回分解

2019-05-19

.NET Core Rocks!!! \m/

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php api限制速率,通过Node+Redi实现API速率限制
weixin_35216188的博客
03-12 592
速率限制可以保护和提高基于API的服务的可用性。如果你正在与一个API对话,并收到HTTP 429 Too Many Requests的响应状态码,说明你已经被速率限制了。这意味着你超出了给定时间内允许的请求数量。你需要做的就是放慢脚步,稍等片刻,然后再试一次。为什么要速率限制?当你考虑限制你自己的基于API的服务时,你需要在用户体验、安全性和性能之间进行权衡。控制数据流的最常见原因是保持基于AP...
基本API速率限制
最佳 Java 编程
06-06 1750
您可能正在开发某种形式的(Web / RESTful)API,并且如果它是面向公众的(甚至是内部的),通常您希望以某种方式对其进行速率限制。 即,限制一段时间内执行的请求数,以节省资源并防止滥用。 这可能可以通过一些聪明的配置在Web服务器/负载均衡器级别上实现,但是通常您希望速率限制器是特定于客户端的(即,API的每个客户端都应具有单独的速率限制),以及客户端的方式被确定是不同的。 可...
处理 API 请求和速率限制的2种方法
最新发布
酌沧
06-14 964
(令牌桶算法):TokenBucket 是一个常用的速率限制算法,用于控制请求速率,确保请求以平稳的速率发送。它的工作原理如下:初始化:令牌桶以一定的速率被填充(例如,每秒增加 query_per_second 个令牌)。桶中令牌的最大数量是有限的,一旦达到上限,令牌不再增加。获取令牌:当发送请求时,需要从桶中取出一个令牌。如果桶中有足够的令牌,请求立即发送。
WebApiThrottle限流框架使用手册
weixin_34050519的博客
07-21 238
阅读目录: 介绍 基于IP全局限流 基于IP的端点限流 基于IP和客户端key的端点限流 IP和客户端key的白名单 IP和客户端key自定义限制频率 端点自定义限制频率 关于被拒请求的计数器 在web.config或app.config中定义限制策略 获取API的客户端key 存储限流的数据 运行期间更新限制频率 限流的请求日志 用ThrottlingFilter...
API限速
weixin_30505485的博客
07-22 807
最近遇到几个很有意思的接口,这些接口具有调用速率限制,比如说一个接口具有每小时请求30次的限制,就是一小时只能请求这个接口30次,如果超过了30 次,那么接口服务方会启用惩罚策略,将调用的速率减小一些,比如说每小时1次请求,等限制期的时间过去后,才恢复正常的请求限制率。 对于接口限制策略,必须有一个请求采样算法,我猜测了它的内部实现,有可能是这样的。对于每小时30次的请求限制策略,构建...
OpenAI API 中文文档 - 速率限制
qq_39851584的博客
05-14 1618
如果您的速率限制为每分钟 60 个请求和每分钟 150k 个令牌,则您将受到达到请求/分钟上限或令牌用完的限制(以先发生者为准)。我们提高限制以启用高流量应用程序,因此申请提高速率限制的最佳时机是当您认为您拥有必要的流量数据来支持提高速率限制的有力理由时。首先,以当前速率限制向一部分用户发布服务,收集 10 个工作日的使用情况数据,然后根据该数据提交正式的速率限制提高请求,以供我们审核和批准。下表突出显示了我们 API 的默认速率限制,但在填写速率限制提高请求表单后,这些限制可能会根据您的使用案例增加。
WebApiThrottle:用于IIS和Owin托管的ASP.NET Web API速率限制
05-13
WebApiThrottle ... AspNetCoreRateLimit是对WebApiThrottle的完全重写,并为配置Web API和MVC应用程序的速率限制提供了更大的灵活性。 基于IP的全局限制 设置波纹管将限制源自同一IP的请求数量。 如果来自同一
后端实践分配-Api速率限制
02-28
总的来说,API速率限制是保障服务质量和安全性的重要手段,JavaScript提供了丰富的工具和库来帮助开发者实现这一功能。在设计和实施API速率限制策略时,应考虑业务需求、用户体验和系统性能,以找到最佳平衡点。
ratelimit:API速率限制装饰器
04-29
API是与Web服务进行交互的一种非常常见的方式。 随着使用数据的需求的增长,保持最新数据源所需的API调用数量也在增加。 但是,许多API提供程序都限制了开发人员进行过多的API调用。 这就是所谓的速率限制,在最坏...
WebApi访问WebApi两个项目
09-08
在“WebApi访问WebApi两个项目”中,我们可以理解为有一个WebApi项目作为服务器端,提供API接口,另一个项目是客户端,负责调用这些接口获取数据。这通常是多客户端访问场景的常见结构,特别是在微服务架构中,多...
WebApi 接口恶意请求限制
小半的博客
10-22 1774
为了防止爬虫以及恶意请求,我们适当的为API增加一个请求限制 WebApiThrottle限流框架 WebApiThrottle支持自定义配置各种限流策略。可以根据不同场景配置多个不同的限制,比如授权某个IP每秒、每分钟、每小时、每天、每周的最大调用次数。 这些限制策略可以配置在所有请求上,也可以单独给每个API接口去配置。                     ...
.ner CoreWebApi限流
技术分享博客
11-27 536
使用 AspNetCoreRateLimit实现 Appsetting 中设置 "IpRateLimiting": { "EnableEndpointRateLimiting": true, "StackBlockedRequests": false, "RealIpHeader": "X-Real-IP", "ClientIdHeader": "X-ClientId", "HttpStatusCode": 429, "QuotaExceededRespo
ASP.NET Core 的 Web Api 实现限流 中间件
lwpoor123的博客
01-16 1491
中间件提供速率限制中间件。类提供下列用于限制速率的扩展方法:​​​​​。
微服务-API网关-限流
炮哥技术分享
08-26 1466
限流介绍 我们在API网关中已经介绍了,限流是保护网关的手段之一,和身份认证以及鉴权一起组成安全防御大闸。其目的是对并发请求进行限速或限制一个时间窗口内请求的数量, 一旦达到阈值就排队等待或降级甚至拒绝服务。 为啥要做限流 在API网关接受的请求量超过了最大处理能力后,网关就会出现问题,不能在正常提供服务,所以要限流。 为了防止其他人通过DDOS恶意攻击网关。 某些API处理时很消耗系统资源,频繁的调用会造成系统瘫痪,所以要控制这些API接口的调用频率。 在API网关是面对公司外部使用的情况下,通过限制A
.NET Core WebApi 接口ip限流实践
IsZYya的博客
07-05 623
之前一直想实现接口限流,但一直没去实现,然后刚好看到一篇文章是基于组件的限流策略。这个组件不做多的介绍,想了解详情可以去访问官方网址或者原文地址,地址在文章底部,本文只讲实现。
Go并发模式/设计模式之速率限制API速率限制
u013862108的博客
05-03 2339
速率限制;它限制了某种资源在某段时间内 被访问次数。 资源可以是任何东西: API连接, 磁盘读写, 网络包, 异常。 通常情况下 用户对系统的访问应当 被沙盒化,既不会影响其他用户的活动, 也不会受到其他用户的影响。 访问 收费系统 时, 速率限制可以使你与客户保持良好的关系。Google 的云服务中 就用到了 速率限制。 Go语言 中 如何 进行限速呢? 大多数的限速 是基于 令牌桶...
【.NET】WebApiThrottle限流框架(13)——限流的请求日志
u013938578的博客
10-06 881
如果你想记录限流后的请求日志,可以实现IThrottleLogger接口,添加到ThrottlingHandler里。 public interface IThrottleLogger { void Log(ThrottleLogEntry entry); } 实现ITraceWriter日志记录接口的例子 public class TracingThrottleLogger :...
并发请求太多,服务器崩溃了?试试使用 ASP.NET Core Web API 操作筛选器对请求进行限流
yangshuquan的专栏
02-01 1169
请求限流(Rate Limiting)主要是一种用于控制客户端对服务器的请求频率的机制。其目的是限制客户端在一定时间内可以发送的请求数量,保护服务器免受过多请求的影响,确保系统的稳定性和可靠性。本文主要讲述 ASP.NET Core Web API 如何使用操作筛选器对请求进行限流
【.NET】WebApiThrottle限流框架(11)——存储限流的数据
u013938578的博客
10-06 413
WebApiThrottle会在内存中存储所有的请求数据,寄宿在IIS里使用ASP.NET版本的cache、自寄宿在Owin上使用运行时版本的缓存MemoryCache。如果你想改变请求数据存储的策略,框架是支持redis、nosql、数据库存储的,这种情况下必须创建自己的存储引擎,可以通过实现IThrottleRepository接口完成。 public interface IThrottl...
ASP.NET Web API 安全设计与控制指南
10. **速率限制**:为了防止DoS(拒绝服务)攻击,你可以实施速率限制策略,限制每个客户端在特定时间内可以发出的请求数量。 11. **依赖注入**:ASP.NET Web API 支持依赖注入,允许你轻松地将安全库和服务注入到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值