Entry № 1013
限速
限速 是什么?
限速限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
限速是一种流量整形控制,对每个标识在每个时间窗口内的最大请求数加以限制;一旦超出预算就返回 429 Too Many Requests 或将请求排队。常见算法包括 token bucket(容许突发、速率稳定)、leaky bucket(把突发平滑成恒定输出)、fixed window(实现简单但边界处会有尖峰)以及 sliding window(更精确但成本略高)。现代 API 网关、CDN 与 WAF 通常会基于多个键(IP、用户、令牌、端点)实施限速,并与机器人管理、撞库防御配合。限速是最廉价的第一道防线,可有效遏制爬虫、枚举、暴力破解登录,以及客户端意外重试风暴。
● 示例
- 01
把对外登录 API 限制为每 IP 每分钟 10 次,以减缓撞库攻击。
- 02
搜索接口使用 token bucket 限速,在吸收突发的同时阻止爬虫。
● 常见问题
限速 是什么?
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。 它属于网络安全的 网络安全 分类。
限速 是什么意思?
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
如何防御 限速?
针对 限速 的防御通常结合技术控制与运营实践,详见上方完整定义。
限速 还有哪些其他名称?
常见的别称包括: 流控, API 速率限制。