Django中API速率限制指南 - CoderPad

想象一下，在高峰时段的高速公路上行驶。当你接近瓶颈时，车速逐渐减慢，甚至完全停下。而此时，一辆车突然加速，试图插入你和前车之间的空隙。这种鲁莽行为可能引发事故。这一场景与数字世界中的“速率限制”概念非常相似。就像高速公路上的瓶颈限制了车辆通行数量一样，速率限制通过限制服务器在特定时间内处理的请求数量，来防止流量过载和系统崩溃。

API速率限制是提高安全性、避免请求高峰对系统性能造成影响的有效手段之一。在本文中，我们将详细探讨速率限制的概念、重要性、不同类型及其实现方法，并重点介绍如何在 Django 中实现速率限制。

目标

通过本文，你将学到以下内容：

• 什么是速率限制及其重要性
• 不同类型的速率限制
• 实现速率限制的方法
• 在 Django 中实现速率限制的具体步骤

什么是速率限制及其重要性？

速率限制是一种控制 API 流量分布的技术，旨在防止服务器过载和性能下降。API 所有者通过限制特定时间范围内的请求数量，确保资源的公平使用，避免流量激增，提高系统的可扩展性。

在开发面向大量用户的应用程序时，速率限制至关重要。它可以有效防止机器人程序滥用 API 资源，抵御 DoS 攻击（拒绝服务攻击），并确保合法用户能够正常访问 API。当用户超过速率限制时，API 会返回 HTTP 状态码 429 Too Many Requests，提示用户请求过多。

速率限制通常以每秒请求数（RPS）为单位。例如，可以配置 API 限制每位用户每分钟最多发送 3 个请求。

速率限制的类型

根据需求和限制级别的不同，速率限制可以分为以下几种类型：

用户速率限制

用户速率限制针对特定用户的请求数量进行限制。通常通过监控用户的 IP 地址或 API 密钥来实现。当用户在指定时间内超过限制时，其后续请求会被阻止，直到限制期结束。

基于地理位置的速率限制

这种限制针对特定区域的请求数量进行控制，减少某些区域的流量高峰，从而优化服务器资源的分配。

服务器速率限制

当应用程序的不同部分由不同服务器处理时，可以为每台服务器设置独立的速率限制。这种方式允许开发者根据服务器的使用频率灵活调整限制策略。

实现速率限制的方法

速率限制可以通过多种方式实现，以下是几种常见方法：

使用请求队列

请求队列限制了在特定时间段内发送到 API 的请求数量。许多编程语言提供了相关的库来简化实现，例如 Amazon Simple Queue Service（SQS）可以高效管理请求和消息队列。

节流（Throttling）

节流是一种动态评估请求的技术。当触发节流时，用户可能会被断开连接或降低带宽。这种方法灵活且适用于用户级、API 级或应用程序级的速率限制。

速率限制算法

以下是几种常见的速率限制算法：

• 漏桶算法（Leaky Bucket）：通过先进先出（FIFO）队列处理请求。当队列满时，超出的请求会被丢弃。
• 令牌桶算法（Token Bucket）：为每个用户分配一定数量的令牌，请求时消耗令牌，令牌耗尽后拒绝请求。
• 固定窗口算法（Fixed Window）：在固定时间窗口内限制请求数量，超出限制的请求直接丢弃。
• 滑动窗口算法（Sliding Window）：记录请求的时间戳，动态调整窗口范围，适合处理突发流量。

在 Django 中实现速率限制

接下来，我们将通过 Django Rest Framework（DRF）实现速率限制。

项目设置

首先安装 Django Rest Framework：

pip install djangorestframework

然后在 settings.py 中添加以下内容：

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'rest_framework',
    'rest_framework.authtoken',
    'productApp',
]

创建模型

在 models.py 中定义一个简单的产品模型：

from django.db import models

class Product(models.Model):
    name = models.CharField(max_length=100)
    price = models.DecimalField(max_digits=10, decimal_places=2)
    color = models.CharField(max_length=50)
    weight = models.CharField(max_length=50)

运行以下命令将模型迁移到数据库：

python manage.py makemigrations
python manage.py migrate

创建序列化器

在 productApp 目录下创建 serializers.py 文件，添加以下代码：

from rest_framework import serializers
from .models import Product

class ProductSerializer(serializers.ModelSerializer):
    class Meta:
        model = Product
        fields = '__all__'

创建视图和路由

在 views.py 中定义 API 视图：

from rest_framework.generics import CreateAPIView, ListAPIView, DestroyAPIView
from .models import Product
from .serializers import ProductSerializer

class CreateProductView(CreateAPIView):
    queryset = Product.objects.all()
    serializer_class = ProductSerializer

在 urls.py 中配置路由：

from django.urls import path
from .views import CreateProductView

urlpatterns = [
    path('products/create', CreateProductView.as_view(), name='create-product'),
]

添加全局速率限制

在 settings.py 中配置速率限制策略：

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES': [
        'rest_framework.throttling.AnonRateThrottle',
        'rest_framework.throttling.UserRateThrottle',
    ],
    'DEFAULT_THROTTLE_RATES': {
        'anon': '2/min',
        'user': '4/min',
    }
}

测试速率限制

使用以下命令测试速率限制：

curl --location --request POST 'http://127.0.0.1:8000/products/create' 
--header 'Content-Type: application/json' 
--data-raw '{"name": "Foodco", "price": "3000", "color": "blue", "weight": "32kg"}'

当超过限制时，API 将返回 429 Too Many Requests 错误。

结论

本文详细介绍了速率限制的概念及其重要性，并探讨了用户速率限制、基于地理位置的速率限制和服务器速率限制等不同类型。我们还讨论了实现速率限制的多种方法，包括请求队列、节流和常见的速率限制算法。最后，我们通过 速率限制的工作原理，并在实际项目中灵活应用。

原文链接: https://coderpad.io/blog/development/a-guide-to-api-rate-limiting-in-django/