实施 Web 请求速率限制算法的最佳方法是什么？

发布于 2024-08-05 09:55:09 字数 651 浏览 9 评论 0原文

可能/部分重复：

我我正在寻找为 Web 应用程序实现移动时间窗口速率限制算法的最佳方法，以减少垃圾邮件或暴力攻击。

使用示例为“过去 5 分钟内给定 IP 的最大失败登录尝试次数”、“过去 N 分钟内的最大数量（帖子/投票/等...）”。

我更喜欢使用移动时间窗口算法，而不是每 X 分钟硬重置一次统计数据（如 twitter api）。

这适用于 C#/ASP.Net 应用程序。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

我是男神闪亮亮 2024-08-12 09:55:10

我刚刚添加了问题的答案如果 API 速率超出限制，则阻止 API 请求 5 分钟。
我使用 HttpRuntime.Cache 每分钟只允许 60 个请求。超过限制将在接下来的 5 分钟内阻止 API。

回复收藏 0 原文

固执像三岁 2024-08-12 09:55:10

我一直在研究一种新的基于 redis 的速率限制方法： http://blog.jnbrymn.com/2021/03/18/estimated-average-recent-request-rate-limiter.html

它比我的许多其他方法更简单我们已经看到，它不需要您不断创建新的 Redis 密钥（例如，不是每个用户每分钟窗口一个，而是每个用户一个）。它具有一些关于“健忘和宽恕”的良好特性，例如，施虐者无法在下一分钟内再次犯罪。它还有一个很好的解释，因为速率限制器的状态对应于用户最近请求速率的估计。

回复收藏 0 原文

迷鸟归林 2024-08-12 09:55:09

我们发现令牌桶对于这种速率限制是更好的算法。它广泛应用于路由器/交换机中，因此我们的操作人员对这个概念更加熟悉。

回复收藏 0 原文

咋地 2024-08-12 09:55:09

只是为这个问题添加一个更“现代”的答案：对于.NET WebAPI， WebApiThrottle 非常好，可能开箱即用，满足您的所有需求。

它还在 NuGet 上提供。

实施只需一分钟左右，并且高度可定制：

config.MessageHandlers.Add(new ThrottlingHandler()
{
    Policy = new ThrottlePolicy(perSecond: 1, perMinute: 30, perHour: 500, perDay:2000)
    {
        IpThrottling = true,
        ClientThrottling = true,
        EndpointThrottling = true
    },
    Repository = new CacheRepository()
});

Just to add a more 'modern' answer to this problem: For .NET WebAPI, WebApiThrottle is excellent and probably does everything you want out of the box.

It's also available on NuGet.

Implementation takes only a minute or so and it's highly customisable:

config.MessageHandlers.Add(new ThrottlingHandler()
{
    Policy = new ThrottlePolicy(perSecond: 1, perMinute: 30, perHour: 500, perDay:2000)
    {
        IpThrottling = true,
        ClientThrottling = true,
        EndpointThrottling = true
    },
    Repository = new CacheRepository()
});

回复收藏 0 原文