FastAPI 接口限流：详解 4 种常见限流算法，提升 API 性能！

接口限流的必要性

在没有接口限流的情况下，服务器可能会面临以下风险：

• 服务器负载不平衡：当大量请求同时涌入时，服务器可能无法处理，导致部分请求超时或失败。
• 暴力破解密码：攻击者可能会利用接口的漏洞不断尝试不同的密码，直到成功登录。
• 恶意请求：不法分子可能会发送大量垃圾请求或恶意请求，消耗服务器资源，甚至导致服务器崩溃。
• 额外费用：如果服务器超出了其容量限制，可能会产生额外的费用。
• 拒绝服务攻击 (DoS)：攻击者可能会发起洪水攻击或分布式拒绝服务 (DDoS) 攻击，导致服务器无法处理任何请求。

4 种常见的接口限流算法

为了防止上述风险，可以采用以下 4 种常见的接口限流算法：

1. 固定窗口算法 ：这种算法将一段时间（例如 1 秒）内的请求数量限制在一个固定值内。如果请求数量超过了限制，则后面的请求将被拒绝或排队等待。固定窗口算法简单易懂，但它可能无法处理突发流量。
2. 滑动窗口算法 ：滑动窗口算法与固定窗口算法类似，但它使用了一个移动的窗口来统计请求数量。随着时间的推移，窗口会向前移动，这样就可以允许新的请求进入窗口，而旧的请求则会从窗口中移除。滑动窗口算法可以更好地处理突发流量，但它比固定窗口算法更复杂。
3. 漏桶算法 ：漏桶算法将请求视为水滴，并将服务器视为一个桶。桶有一个固定的容量，并且以一个恒定的速率漏水。当水滴到达桶时，如果桶已满，则水滴将被丢弃。漏桶算法可以平滑突发流量，但它可能会导致请求延迟。
4. 令牌桶算法 ：令牌桶算法与漏桶算法类似，但它使用令牌而不是水滴。服务器会以一个恒定的速率生成令牌，并且每个请求都需要消耗一个令牌才能被处理。当令牌桶为空时，新的请求将被拒绝或排队等待。令牌桶算法可以更好地控制请求速率，但它比漏桶算法更复杂。

选择合适的限流算法

在选择限流算法时，需要考虑以下因素：

• 预期的请求量
• 服务器的容量
• 期望的响应时间
• 系统的复杂性

对于大多数应用来说，固定窗口算法或滑动窗口算法都是不错的选择。如果需要更精细的控制，则可以使用漏桶算法或令牌桶算法。

FastAPI 中的接口限流

FastAPI 提供了内置的限流功能，可以使用 @app.route() 装饰器来配置限流参数。例如，以下代码将使用固定窗口算法限制 /api/v1/users 端点的请求速率为每秒 100 个请求：

@app.route("/api/v1/users", methods=["GET"])
@app.api_route(rate_limit={"requests": 100, "seconds": 1})
async def get_users():
    return await get_users_from_database()

总结

接口限流是保护服务器和 API 免受各种攻击和滥用的重要措施。通过使用合适的限流算法，可以有效地控制请求速率，提高服务器的性能和稳定性。在 FastAPI 中，可以使用内置的限流功能轻松实现接口限流。