限制接口访问频率

限流,顾名思义,就是限制对 API 的调用频率。每一次 API 调用,都要花费服务器的资源,因此很多 API 不会对用户无限次地开放,请求达到某个次数后就不再允许访问了,或者一段时间内,最多只允许访问 API 指定次数。

目前,我们的接口是没有任何限流措施的,只要用户调用接口,服务器就会处理并返回数据。为了防止接口被恶意用户刷爆,我们来给接口限流。

上一篇中我们已经整理了接口并加入了缓存,我们的限流政策可以根据缓存的设置情况来制定。对于缓存时间较长的接口,可以适当放宽限制,而对于可能需要访问数据库的接口,则进行严格的限制。

django-rest-framework 为我们提供了 2 个常用的限流功能辅助类,分别是 AnonRateThrottleUserRateThrottleAnonRateThrottle 用于限制未认证用户的访问频率,限制依据是用户的 ip。UserRateThrottle 用于限定认证用户,即网站的注册用户(目前我们博客不支持用户登录注册,所以这个类没什么用)。两个类可以用于同一 API,以便对不同类型的用户实施不同的限流政策。

这两个辅助类限制频率的指定格式为 "最大访问次数/时间间隔",例如设置为 10/min,则只允许一分钟内最多调用接口 10 次。超过限定次数的调用将抛出 exceptions.Throttled 异常,客户端收到 429 状态码(too many requests)的响应。

再次根据已有 API 列表和缓存情况来分析一下我们的限流政策:

接口名 URL 限流
文章列表 /api/posts/ 10/min
文章详情 /api/posts/:id/ 10/min
分类列表 /categories/ 10/min
标签列表 /tags/ 10/min
归档日期列表 /posts/archive/dates/ 10/min
评论列表 /api/posts/:id/comments/ 10/min
文章搜索结果 /api/search/ 5/min

补充说明:

  1. 首页文章列表 API:有缓存,正常用户不会访问太频繁,限定 10/min
  2. 文章详情 API:有缓存,正常用户不会访问太频繁,限定 10/min
  3. 分类、标签、归档日期列表,有缓存,正常用户不会访问太频繁,限定 10/min
  4. 评论列表,有缓存,正常用户不会访问太频繁,限定 10/min
  5. 搜索接口,正常用户不会访问太频繁,限定 5/min

接口限流规则制定好后,接下来就设置限流辅助类就可以了。

启用限流有 2 种方式,一是全局设置,二是单个视图设置,单个视图的设置会覆盖全局设置。因为几乎所有接口都是对匿名用户限流,因此先来进行全局设置。在项目配置文件 common.py 中找到 REST_FRAMEWORK 配置项,加入如下配置:

common.py
REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES': [
        'rest_framework.throttling.AnonRateThrottle',
    ],
    'DEFAULT_THROTTLE_RATES': {
        'anon': '10/min',
    }
}

这样,所有接口访问频率均被设置为 10/min。

对于搜索接口,我们制定的限流规则是 5/min,因此我们对这个视图集的限流类进行单独设置。

因为全局配置中,默认设置的限流频率为 10/min,为了将限流类的默认频率设置为 5/min,我们需要继承原限流类覆盖它的 THROTTLE_RATES 属性,代码非常简单:

blog/views.py
from rest_framework.throttling import AnonRateThrottle

class PostSearchAnonRateThrottle(AnonRateThrottle):
    THROTTLE_RATES = {"anon": "5/min"}

接着在搜索接口的视图集中通过 throttle_classes 指定这个限流类:

blog/views.py
class PostSearchView(HaystackViewSet):
    index_models = [Post]
    serializer_class = PostHaystackSerializer
    throttle_classes = [PostSearchAnonRateThrottle]

我们来测试一下,限流是否真的起了作用。

首先来测试 10/min 访问限制的接口,以文章列表接口 api/v1/posts/ 为例,在连续访问 10 次后,接口返回了如下结果:

HTTP 429 Too Many Requests
Allow: GET, HEAD, OPTIONS
Content-Type: application/json
Retry-After: 52
Vary: Accept

{
"detail": "请求超过了限速。 Expected available in 52 seconds."
}

一分钟后重新访问又恢复了正常。

再来测试一下搜索接口,访问 /api/v1/search/?text=markdown,在连续刷新 5 次后,接口返回如下结果:

HTTP 429 Too Many Requests
Allow: GET, HEAD, OPTIONS
Content-Type: application/json
Retry-After: 26
Vary: Accept

{
"detail": "请求超过了限速。 Expected available in 26 seconds."
}

一分钟后重新访问又恢复了正常。

注意

因为搜索功能依赖 Elasticsearch 服务,因此测试接口时需要运行 Docker 容器,可参考 基于 drf-haystack 实现文章搜索接口

-- EOF --

最后更新:Aug. 4, 2020, 9:39 a.m.