使用令牌桶算法实现API限流,通过golang.org/x/time/rate包创建每秒5次、突发10次的限流器,结合中间件封装和双检锁机制保障并发安全,基于客户端IP进行限流控制,并建议生产环境优化IP提取、增加Redis分布式支持及内存清理机制。
在高并发场景下,API请求限流是保护后端服务稳定性的关键手段。Golang凭借其高效的并发处理能力,非常适合实现轻量级、高性能的限流功能。本文将带你用 Golang 实现一个基础但实用的 API 请求限流模块,适用于中小型项目快速集成。
使用令牌桶算法实现限流
限流算法有多种,其中令牌桶(Token Bucket)算法兼顾了突发流量支持和平均速率控制,适合大多数 Web API 场景。Golang 标准库 golang.org/x/time/rate 提供了基于令牌桶的实现,简单高效。
核心思路:每个客户端拥有一个独立的令牌桶,每秒生成固定数量的令牌。每次请求需从桶中获取一个令牌,获取不到则拒绝请求。
示例代码:
package mainimport ( "golang.org/x/time/rate" "net/http" "sync" "time" )
var ( clients = make(map[string]rate.Limiter) mu sync.RWMutex // 每秒最多 5 个请求,允许突发 10 个 r = rate.Every(200 time.Millisecond) b = 10 )
func getLimiter(ip string) *rate.Limiter { mu.RLock() limiter, exists := clients[ip] mu.RUnlock()
if !exists { mu.Lock() // 双检锁防止重复创建 if _, found := clients[ip]; !found { clients[ip] = rate.NewLimiter(r, b) } mu.Unlock() } return clients[ip]}
func limit(next http.HandlerFunc) http.HandlerFunc { return func(w http.ResponseWriter, r *http.Request) { ip := r.RemoteAddr // 生产环境建议提取 X-Forwarded-For 或使用更准确的 IP 获取方式 limiter := getLimiter(ip)
if !limiter.Allow() { http.StatusText(http.StatusTooManyRequests) w.WriteHeader(http.StatusTooManyRequests) w.Write([]byte("请求过于频繁,请稍后再试")) return } next(w, r) }}
中间件方式集成到 HTTP 服务
将限流逻辑封装为 HTTP 中间件,便于复用和管理。以下是一个完整的小型 API 服务示例:
func helloHandler(w http.ResponseWriter, r *http.Request) { w.Write([]byte("Hello, 你已通过限流验证!")) }func main() { http.Ha
ndleFunc("/api/hello", limit(helloHandler)) http.ListenAndServe(":8080", nil) }
启动服务后,访问 http://localhost:8080/api/hello,连续快速刷新浏览器,当超过每秒 5 次时会收到“请求过于频繁”的提示。
优化与生产建议
上述实现适用于单机部署。若需在分布式或多实例环境中保持限流一致性,需结合外部存储:
ndleFunc("/api/hello", limit(helloHandler))
http.ListenAndServe(":8080", nil)
}
- Redis + Lua 脚本:使用 Redis 存储客户端状态,通过原子 Lua 脚本实现令牌桶逻辑,保证跨实例一致。
- 滑动日志或漏桶算法:根据业务需求选择更适合的算法,例如严格按时间窗口计数的滑动窗口。
- IP 提取增强:实际部署在 Nginx 后时,应从 X-Real-IP 或 X-Forwarded-For 头部获取真实客户端 IP。
- 内存清理机制:长时间运行可能导致 map 中积累大量无效 IP 记录,可定期清理长时间未活跃的限流器。
测试限流效果
使用 curl 或 ab 工具测试限流是否生效:
ab -n 20 -c 10 http://localhost:8080/api/hello/
观察返回结果中是否有部分请求被拒绝(HTTP 429),即可验证限流功能正常工作。
基本上就这些。通过 Golang 的 rate 包和简单的中间件封装,我们快速实现了基础的 API 限流功能。不复杂但容易忽略细节,比如并发安全和 IP 识别准确性。后续可根据业务规模扩展为分布式限流方案。
