速度限制器
编辑本页速度限制器
“速率限制器”控制某些事件(例如HTTP请求或登录尝试)允许发生的频率。速率限制通常用作一种防御措施,以保护服务不被过度使用(有意或无意)并保持其可用性。控制内部或出站流程也很有用(例如,限制同时处理的消息的数量)。
ob娱乐下载Symfony在内置功能中使用这些速率限制器,例如登录节流,它限制了用户在一段时间内登录失败的次数,但你也可以将它们用于你自己的功能。
谨慎
根据定义,Symfony速率限制器需要ob娱乐下载在PHP进程中启动Symfony。这使得它们无法预防DoS攻击.这种保护必须消耗尽可能少的资源。考虑使用Apache mod_ratelimit,NGINX速率限制或代理(如AWS或Cloudflare),以防止ob直播app您的服务器不堪重负。
限速策略
ob娱乐下载Symfony的速率限制器实现了一些最常见的策略来执行速率限制:固定窗,滑动窗口,令牌桶.
固定窗口速率限制器
这是最简单的技术,它基于为给定的时间间隔设置限制(例如,每小时5000个请求或每15分钟3次登录尝试)。
在下面的图表中,限制设置为“每小时5个代币”。每个窗口从第一次点击开始(即10:15,11:30和12:30)。只要窗口中有5次命中(蓝色方框),其他所有命中都将被拒绝(红色方框)。
它的主要缺点是资源使用在时间上不是均匀分布的,并且它可以使窗口边缘的服务器过载。在前面的示例中,在11:00到12:00之间有6个已接受的请求。
限制越大,这一点就越重要。例如,以每小时5000个请求为例,用户可以在某小时的最后一分钟发出4999个请求,在下一小时的第一分钟发出另外5000个请求,在两分钟内总共发出9999个请求,可能会使服务器过载。这些过度使用的时期被称为“爆发期”。
滑动窗口速率限制器
滑动窗口算法是固定窗口算法的一种替代方案,旨在减少突发。这和上面的例子是一样的,但是使用了一个1小时的窗口,在时间轴上滑动:
如您所见,这删除了窗口的边缘,并将阻止11:45的第6个请求。
为了实现这一点,速率限制是基于当前窗口和前一个窗口进行近似的。
例如:限制为每小时5000个请求;一个用户在前一个小时发出了4000个请求,这个小时发出了500个请求。在当前小时的15分钟内(窗口的25%),命中次数将计算为:75% * 4000 + 500 = 3500。此时,用户只能再执行1500个请求。
数学计算表明,最后一个窗口越接近,最后一个窗口的命中计数对当前限制的影响就越大。这将确保用户每小时可以执行5,000个请求,但前提是这些请求均匀分布。
配置
下面的例子为一个API服务创建了两个不同的速率限制器,以强制执行不同级别的服务(免费或付费):
- YAML
- XML
- PHP
12 3 4 5 6 7 8 9 10 11 12
#配置/包/ rate_limiter.yaml框架:rate_limiter:anonymous_api:#使用'sliding_window'如果你喜欢这个策略政策:“fixed_window”限制:One hundred.间隔:“60分钟”authenticated_api:政策:“token_bucket”限制:5000率:{间隔:“15分钟”,数额:500}请注意
的值时间间隔选项必须是一个数字,后面跟着选项所接受的任何单位PHP日期相关格式(如。3秒,10个小时,1天等)。
在anonymous_api限制器,在发出第一个HTTP请求后,您可以在接下来的60分钟内发出多达100个请求。在此之后,计数器重置,在接下来的60分钟内您还有100个请求。
在authenticated_api限制器,在发出第一个HTTP请求后,您总共被允许发出多达5,000个HTTP请求,并且这个数字以每15分钟另一个500个请求的速度增长。如果您没有发出这个数量的请求,那么未使用的请求就不会累积限制选项防止这个数字超过5000)。
限速措施
在安装和配置了速率限制器之后,将其注入到任何服务或控制器中并调用消费()方法尝试使用给定数量的令牌。例如,这个控制器使用前面的速率限制器来控制对API的请求数量:
12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
/ / src /控制器/ ApiController.php名称空间应用程序\控制器;使用ob娱乐下载\包\FrameworkBundle\控制器\AbstractController;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\HttpKernel\异常\TooManyRequestsHttpException;使用ob娱乐下载\组件\RateLimiter\RateLimiterFactory;类ApiController扩展AbstractController{//如果你使用服务自动装配,变量名必须是://“速率限制器名称”(驼峰格式)+“限制器”后缀公共函数指数(请求$请求, RateLimiterFactory$anonymousApiLimiter){//创建一个基于客户端唯一标识符的限制器//(例如客户端的IP地址,用户名/电子邮件,API密钥等)$限幅器=$anonymousApiLimiter->创建($请求->getClientIp ());// consume()的参数是要消耗的令牌数量//返回一个Limit类型的对象如果(假= = =$限幅器->消费(1)->isAccepted ()) {扔新TooManyRequestsHttpException ();}//你也可以使用ensureAccepted()方法——它会抛出一个// RateLimitExceededException如果已经达到限制/ /限幅器- >美元消费(1)- > ensureAccepted ();/ /……}/ /……}请注意
在实际应用程序中,与其检查所有API控制器方法中的速率限制器,不如创建一个事件监听器或订阅器为内核。请求event并为所有请求检查一次速率限制器。
等待Token可用
当达到限制时,您可能希望等待新的令牌可用,而不是放弃请求或进程。可以使用储备()方法:
12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
/ / src /控制器/ ApiController.php名称空间应用程序\控制器;使用ob娱乐下载\包\FrameworkBundle\控制器\AbstractController;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\RateLimiter\RateLimiterFactory;类ApiController扩展AbstractController{公共函数registerUser(请求$请求, RateLimiterFactory$authenticatedApiLimiter){$apiKey=$请求->头->get (“apikey”);$限幅器=$authenticatedApiLimiter->创建($apiKey);//这将阻塞应用程序,直到给定数量的令牌可以被消费$限幅器->储备(1)->wait ();//可选,传递一个最大等待时间(以秒为单位),一个MaxWaitDurationExceededException如果进程需要等待更长时间,则会抛出。例如:最多等20秒:/ /限幅器- >美元储备(20)- - - >等();/ /……}/ /……}的储备()方法能够在将来保留令牌。仅在计划等待时使用此方法,否则将通过保留未使用的令牌来阻塞其他进程。
请注意
并非所有策略都允许在未来保留令牌。这些策略可能会带来麻烦ReserveNotSupportedException当调用储备().
在这些情况下,您可以使用消费()在一起wait (),但不能保证等待后令牌是可用的:
1 2 3 4 5
/ /……做{$限制=$限幅器->消费(1);$限制->wait ();}而(!$限制->isAccepted ());暴露速率限制器状态
当在api中使用速率限制器时,通常会在响应中包含一些标准的HTTP标头来公开限制状态(例如剩余的令牌,什么时候有新的令牌可用,等等)。
使用RateLimit对象返回的消费()方法(也可通过getRateLimit ()方法预订对象返回的储备()方法)获取这些HTTP头的值:
12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
/ / src /控制器/ ApiController.php名称空间应用程序\控制器;使用ob娱乐下载\包\FrameworkBundle\控制器\AbstractController;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\HttpFoundation\响应;使用ob娱乐下载\组件\RateLimiter\RateLimiterFactory;类ApiController扩展AbstractController{公共函数指数(请求$请求, RateLimiterFactory$anonymousApiLimiter){$限幅器=$anonymousApiLimiter->创建($请求->getClientIp ());$限制=$限幅器->消费();$头= (“X-RateLimit-Remaining”= >$限制->getRemainingTokens (),“X-RateLimit-Retry-After”= >$限制->getRetryAfter ()->getTimestamp (),“X-RateLimit-Limit”= >$限制->getLimit ()];如果(假= = =$限制->isAccepted ()) {返回新响应(零、响应::HTTP_TOO_MANY_REQUESTS,$头);}/ /……$响应=新响应(“……”);$响应->头->add ($头);返回$响应;}}存储速率限制器状态
所有速率限制器策略都需要存储它们的状态(例如,在当前时间窗口中已经进行了多少次命中)。默认情况下,所有限制符都使用cache.rate_limiter创建的缓存池缓存组件.这意味着每次清除缓存时,速率限制器都将被重置。
您可以使用cache_pool选项,覆盖特定限制器(甚至创建新的缓存池):
- YAML
- XML
- PHP
1 2 3 4 5 6 7 8
#配置/包/ rate_limiter.yaml框架:rate_limiter:anonymous_api:#……#使用“缓存”。Anonymous_rate_limiter”缓存池cache_pool:“cache.anonymous_rate_limiter”请注意
除了使用Cache组件,还可以实现自定义存储。方法创建一个PHP类StorageInterface并使用storage_service将每个限制器设置为该类的服务ID。
使用锁来防止竞争条件
竞态条件当同一个速率限制器同时被多个请求使用时(例如,一个公司的三台服务器同时访问你的API),就会发生这种情况。速率限制器使用锁保护他们的行动不受这些竞争条件的影响。
默认情况下,Symfonob娱乐下载y使用配置的全局锁framework.lock,但你可以使用一个具体的叫锁通过lock_factory选项(或完全没有):
- YAML
- XML
- PHP
1 2 3 4 5 6 7 8 9 10 11
#配置/包/ rate_limiter.yaml框架:rate_limiter:anonymous_api:#……#使用“lock. rate_limititer”。这种限位器的工厂lock_factory:“lock.rate_limiter.factory”#或不要使用任何锁机制lock_factory:零
