现在系统中由于各种需要,经常遇到一种场景:需要限定每个IP地址每分钟最大访问次数类似的需求。下面是使用Redis实现范文频率限制的一种方式。
场景:要限制每分钟每个用户最多只能访问100个页面。
思路:1. 对每个用户使用一个名为“rate.limiting:用户IP”的字符串类型键;
2. 每次用户访问,使用INCR命令递增该键的键值
3. 如果递增后的值是1(第一次访问页面),则同时还要设置该键的生存时间为1分钟
4. 这样每次访问页面时都读取该键的键值,如果超过了100就表明该用户的访问频率超过了限制
PS:该键每分钟会自动被删除,所以下一分钟用户的访问次数又会重新计算,这样就达到了限制访问频率的目的。
上述流程的伪代码如下:
$isKeyExists = EXISTS rate.limiting:$IP
if $isKeyExists is 1
$times = INCR rate.limiting:$IP
if $times > 100
print 访问频率超过了限制,请稍后再试
exit
else
INCR rate.limiting:$IP
EXPIRE $keyName, 60
上面的这段代码存在一个不太明显的问题:加入程序执行完倒数第二行后,因为某种原因突然退出了,没能够为该键值设置生存时间,那么该键会永久存在,导致使用对应IP的用户最多只能访问系统100次,除非管理员手动删除该键。这是一个很严重的问题,但是可以结合Redis的事务功能解决该问题,修改后的伪代码如下:
$isKeyExists = EXISTS rate.limiting:$IP
if $isKeyExists is 1
$times = INCR rate.limiting:$IP
if $times > 100
elsee
EXPIRE $keyName, 60
EXEC
访问频率限制到此基本上已经实现,但是仍然有细节地方可以改进。
场景:一个用户在1分钟的第1秒访问了1次系统,在同一分钟的最后1秒访问了99次;又在下一分钟的第一秒访问了100次系统,这种情况用户实际上在2秒内访问了199次系统,这与每个用户每分钟只能访问100次的限制的差距较大。
尽管这种情况比较极端,但是在一些场合中还是需要粒度更小的控制方案。
问题解决思路:如果要精确的保证每分钟最多访问100次,需要记录下每次访问的时间。因此对每个用户,我们使用一个列表类型的键来记录他最近100次访问时间,一旦键中的元素超过100个,就判断时间最早的元素距离现在的时间是否小于1分钟。如果是则表示最近1分钟内的访问次数超过了100次;如果不是就讲现在的时间加入到列表中,同时把最早的元素删除。
上述流程的伪代码如下:
$listLength = LLEN rate.limiting:$IP
if $listLength < 100
LPUSH rate.limiting:$IP, now()
else
$time = LINDEX rate.limiting:$IP, -1
if now() - $time < 60
print 访问频率超过了限制,请稍后再试
else
LPUSH rate.limiting:$IP, now()
LTRIM rate.limiting:$IP, 0, 99
上述代码中用now()函数获得当前的Unix时间。由于需要记录每次访问的时间,所以当要限制“单位时间最多访问N次” 时,如果N的数值越大,此方法占用的存储空间就越多,实际使用时还需要开发者自己去权衡。除此之外,该方法也会出现竞态条件,使用时请注意。