速度限制器
编辑该页面速度限制器
5.2
RateLimiter组件是在Symfony 5.2中引入的。ob娱乐下载
“速度限制器”控制某些事件的频率(例如,HTTP请求或登录尝试)允许发生。速度限制是常用的一种防御性措施,以防止服务过度使用(目的)和维护他们的可用性。也很有用的控制你的内部或出站流程(如限制同时处理的消息的数量)。
ob娱乐下载Symfony使用这些速率限制器等内置功能登录节流,这限制了多少失败的登录尝试用户可以在给定的时间内,但你也可以使用他们自己的特性。
谨慎
根据定义,Symfony速率限制器需要ob娱乐下载引导Symfony的一个PHP的过程。这使得他们不是有用的预防DoS攻击。这种保护必须消耗最少的资源成为可能。考虑使用Apache mod_ratelimit,NGINX率限制或代理(如AWS或Cloudflare)来防止服ob直播app务器不知所措。
速度限制政策
ob娱乐下载Symfony的速率限制器实现了一些最常见的策略实施速度限制:固定窗,滑动窗口,令牌桶。
固定窗速率限制器
这是最简单的技术,它是基于设定一个限制对于给定的时间间隔(例如每小时5000个请求或3登录尝试每15分钟)。
在下面的图中,限制设置为“每小时5令牌”。每个窗口从第一个开始冲击(例如10:15,11:30和12:30)。只要有5支安打(蓝色方块)在一个窗口,其他将被拒绝(红色方块)。
其主要缺点是资源使用不均匀地分布在时间和它可以在窗口边缘服务器过载。在这个例子中,有6十一点和十二点之间接受请求。
这是更重要的,更大的限制。例如,每小时5000个请求,一个用户可以在最后一分钟4999个请求一些小时,另一个在第一分钟5000个请求下一个小时,总共9999个请求在两分钟内,可能服务器超载。这些时期的过度使用被称为“爆发”。
滑动窗口的速度限幅器
滑动窗口算法替代固定窗口算法旨在减少破裂。这是上面的例子一样,然后使用幻灯片1小时的窗口在时间轴:
如您所见,这个删除窗口的边缘,防止6日11点45分到请求。
为了实现这一点,速度限制是基于当前窗口的近似和前面的窗口。
例如:限制是每小时5000个请求;用户由4000个请求前一小时,这一小时500个请求。当前小时15分钟(25%的窗口)计数将计算为:75% * 4000 + 500 = 3500。在这个时间点上的用户只能做1500个请求。
计算显示,最后一个窗口是越近,越过去的窗口的计数会影响当前的限制。这将确保用户只能做每小时5000个请求,但如果他们是均匀分散。
配置
下面的示例创建两个不同的速率限制器的API服务,实施不同级别的服务(免费或付费):
1 2 3 4 5 6 7 8 9 10 11 12
#配置/包/ rate_limiter.yaml框架:rate_limiter:anonymous_api:#使用政策的“sliding_window”如果你喜欢政策:“fixed_window”限制:One hundred.间隔:“60分钟”authenticated_api:政策:“token_bucket”限制:5000年率:{间隔:“15分钟”,数额:500年}请注意
的值时间间隔选项必须是一个数字之后,任何单位接受PHP日期相对格式(如。3秒,10个小时,1天等)。
在anonymous_api限幅器,使第一个HTTP请求后,你可以在接下来的60分钟100个请求。后,柜台重置,你有另一个100以下60分钟的请求。
在authenticated_api限幅器,后第一个HTTP请求你允许让总共5000 HTTP请求,这个数字增长的速度每15分钟500个请求。如果你不使的请求数量,未使用的不积累(限制选项可以防止这一数字高于5000)。
速度限制在行动
速度限制器安装和配置后,注入任何服务或控制器和调用消费()方法尝试使用一个给定数量的令牌。例如,该控制器使用前面的速率限制器控制API请求的数量:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34
/ / src /控制器/ ApiController.php名称空间应用程序\控制器;使用ob娱乐下载\包\FrameworkBundle\控制器\AbstractController;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\HttpKernel\异常\TooManyRequestsHttpException;使用ob娱乐下载\组件\RateLimiter\RateLimiterFactory;类ApiController扩展AbstractController{/ /如果你使用服务自动装配,变量名必须:/ /“速度限制器名称”(camelCase) +后缀“限制”公共函数指数(请求美元请求,RateLimiterFactory美元anonymousApiLimiter){/ /创建一个客户机的限幅器基于一个惟一的标识符/ /(如客户机的IP地址,用户名/电子邮件,一个API密匙,等等)。美元限幅器=美元anonymousApiLimiter- >创建(美元请求- >getClientIp ());/ /消费()的参数是令牌消费的数量/ /并返回一个对象类型的限制如果(假= = =美元限幅器- >消费(1)- >isAccepted ()) {扔新TooManyRequestsHttpException ();}/ /还可以使用ensureAccepted()方法,它会抛出一个/ / RateLimitExceededException如果已经达到的极限/ / $限幅器- >使用(1)- > ensureAccepted ();/ /重置计数器/ / $限幅器- >重置();/ /……}}请注意
在真实的应用程序中,而不是检查速率限制器在所有API控制器方法,创建一个事件监听器或用户为内核。请求event< /a>并检查所有请求速率限制器一次。
等到一个令牌
而不是放弃请求或流程已经达到极限的时候,你可能想要等到一个新的令牌。这可以通过使用储备()方法:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25日26日
/ / src /控制器/ ApiController.php名称空间应用程序\控制器;使用ob娱乐下载\包\FrameworkBundle\控制器\AbstractController;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\RateLimiter\RateLimiterFactory;类ApiController扩展AbstractController{公共函数registerUser(请求美元请求,RateLimiterFactory美元authenticatedApiLimiter){美元apiKey=美元请求- >头- >get (“apikey”);美元限幅器=美元authenticatedApiLimiter- >创建(美元apiKey);/ /这区块应用程序,直到给定数量的令牌可以使用美元限幅器- >储备(1)- >wait ();/ /可选的,通过最大等待时间(以秒为单位),MaxWaitDurationExceededException/ /抛出如果进程必须等待更长的时间。如等待最多20秒:/ /限幅器- >美元储备(20)- >等();/ /……}/ /……}的储备()方法是在未来能够储备令牌。只有使用这种方法如果你计划等,否则你会阻止其他进程通过保留未使用的标记。
请注意
并不是所有的策略允许保留未来的令牌。这些策略可能会抛出一个ReserveNotSupportedException当调用储备()。
在这些情况下,您可以使用消费()在一起wait (),但没有保证令牌后可用等:
1 2 3 4 5
/ /……做{美元限制=美元限幅器- >消费(1);美元限制- >wait ();}而(!美元限制- >isAccepted ());曝光率限制器的状态
当使用速率限制器api,它是常见的,包括一些标准HTTP头的响应暴露极限状态(例如剩余令牌,当新的令牌可以,等等)。
使用RateLimit返回的对象消费()方法(也可以通过getRateLimit ()的方法预订返回的对象储备()方法)来获得这些HTTP头的价值:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32
/ / src /控制器/ ApiController.php名称空间应用程序\控制器;使用ob娱乐下载\包\FrameworkBundle\控制器\AbstractController;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\HttpFoundation\响应;使用ob娱乐下载\组件\RateLimiter\RateLimiterFactory;类ApiController扩展AbstractController{公共函数指数(请求美元请求,RateLimiterFactory美元anonymousApiLimiter){美元限幅器=美元anonymousApiLimiter- >创建(美元请求- >getClientIp ());美元限制=美元限幅器- >消费();美元头= (“X-RateLimit-Remaining”= >美元限制- >getRemainingTokens (),“X-RateLimit-Retry-After”= >美元限制- >getRetryAfter ()- >getTimestamp (),“X-RateLimit-Limit”= >美元限制- >getLimit ()];如果(假= = =美元限制- >isAccepted ()) {返回新响应(零、响应::HTTP_TOO_MANY_REQUESTS,美元头);}/ /……美元响应=新响应(“……”);美元响应- >头- >add (美元头);返回美元响应;}}存储速度限制器状态
所有速度限制器策略需要存储他们的状态(例如多少点击量已经在当前时间窗口)。默认情况下,所有限制器使用cache.rate_limiter创建缓存池缓存组件。这意味着每次你清除缓存,速度限制器将被重置。
您可以使用cache_pool选择覆盖缓存由一个特定的限制器(甚至使用创建一个新的缓存池):
1 2 3 4 5 6 7 8
#配置/包/ rate_limiter.yaml框架:rate_limiter:anonymous_api:#……#使用“缓存。anonymous_rate_limiter“缓存池cache_pool:“cache.anonymous_rate_limiter”请注意
而不是使用缓存组件,也可以实现一个自定义存储。创建一个PHP类,它实现了StorageInterface并使用storage_service设置这个类的每个限幅器服务ID。
使用锁来防止竞态条件
竞态条件可以发生在相同的速率限制器使用多个并发请求(例如,三个服务器的公司同时触及你的API)。速率限制器使用锁针对这些竞争条件来保护他们的行动。
默认情况下,Symfonob娱乐下载y使用配置的全局锁framework.lock,但是您可以使用一个特定的叫锁通过lock_factory选项(或者根本没有):
1 2 3 4 5 6 7 8 9 10 11
#配置/包/ rate_limiter.yaml框架:rate_limiter:anonymous_api:#……#使用“lock.rate_limiter。这个限制器工厂”lock_factory:“lock.rate_limiter.factory”#或不使用任何锁机制lock_factory:零5.3
登录节流不使用Symfony 5.3以来的任何锁,以避免额外的负载。ob娱乐下载
