Throttling - 一种灵活性访问控制

2023-10-30 13:05:43

在现代网络应用中，API 已成为数据交互和服务调用的重要手段。然而，随着 API 的广泛应用，服务端也面临着各种各样的挑战，其中之一便是过多的请求导致服务器不堪重负。为了应对这一挑战，Rest framework 中引入了 throttling 功能。Throttling，即速率限制，是一种灵活的访问控制机制，允许 API 开发者对客户端向服务器端发送请求的速率进行限制。通过 throttling，我们可以避免服务器过载，确保关键功能的服务质量，同时限制恶意请求或机器人程序对 API 的滥用。

理解 Throttling 的基本概念

Throttling 的基本思想是：在一定时间内，客户端只能向服务器端发送一定数量的请求。如果超过了这个限制，则会触发 throttling 异常，并且客户端将无法再发送请求。这种限制可以应用于整个 API，也可以应用于特定的视图或 API 端点。

在 Rest framework 中，throttling 的配置信息存储在 THROTTLE_RATES 设置中。这个设置是一个字典，其中键是视图或 API 端点的名称，值是速率限制的配置信息。例如，以下配置表示对所有视图应用一个全局的速率限制，即每天最多访问 2000 次：

THROTTLE_RATES = {
    'global': '2000/day'
}

在这个配置中，"global" 是视图的名称，"2000/day" 表示每天最多访问 2000 次。速率限制的单位可以是 second、minute、hour 或 day。

定制化设置请求速率限制

在大多数情况下，全局的速率限制就足够了。但是，在某些情况下，您可能需要针对不同的视图或 API 端点设置不同的速率限制。例如，您可能需要对关键功能的 API 端点设置更严格的限制，而对一些不那么重要的端点设置更宽松的限制。

要针对特定的视图或 API 端点设置速率限制，您可以在视图的类定义中使用 throttle_classes 属性。例如，以下代码对 /api/v1/users/ 端点设置了一个每分钟最多访问 100 次的速率限制：

from rest_framework.throttling import UserRateThrottle

class UserViewSet(viewsets.ModelViewSet):
    queryset = User.objects.all()
    serializer_class = UserSerializer

    throttle_classes = [UserRateThrottle]

在这个例子中，UserRateThrottle 是一个内置的速率限制类，它对每个用户应用速率限制。您也可以创建自己的速率限制类，以满足特定的需求。

针对不同情况实施个性化限流策略

除了针对不同的视图或 API 端点设置不同的速率限制之外，您还可以针对不同的情况实施个性化限流策略。例如，您可能需要对来自特定 IP 地址或特定用户的请求应用更严格的限制。

要针对不同的情况实施个性化限流策略，您需要使用 throttle_scope 属性。throttle_scope 属性的值可以是请求的 IP 地址、用户的 ID，或任何其他可以唯一标识请求来源的信息。例如，以下代码对来自 127.0.0.1 IP 地址的请求应用一个每分钟最多访问 50 次的速率限制：

from rest_framework.throttling import ScopedRateThrottle

class UserViewSet(viewsets.ModelViewSet):
    queryset = User.objects.all()
    serializer_class = UserSerializer

    throttle_classes = [ScopedRateThrottle]
    throttle_scope = 'ip'

在这个例子中，ScopedRateThrottle 是一个内置的速率限制类，它根据 throttle_scope 属性的值来应用速率限制。您也可以创建自己的速率限制类，以满足特定的需求。