Heroku 上的 REST 请求速率限制

Question

为了避免滥用，我想在 Rails 应用程序中的 REST API 中添加速率限制。经过一些研究后，看起来最佳实践是 将此责任移至 Web 服务器，而不是在应用程序本身中检查这一点。不幸的是，这在我的情况下无法完成，因为我在 Heroku 上托管应用程序，因此无法控制网络服务器设置。

在这种情况下应该采取什么措施来阻止 API 的滥用？

Answer 1

我认为您正在寻找的是 rack-throttle 或 rack-attack gem。它们都允许限制，并且 rack-attack gem 还允许您让人们超时一段时间，并阻止某些 IP 地址（如果他们多次违规或出于您想要的任何其他原因）阻止请求者。

Answer 2

考虑在客户端上放置一个 cookie，或者更好的是，在用户帐户上放置一个字段，记录他们上次发出请求的时间（许多身份验证插件已经这样做），并且如果请求比以下时间更新，则简单地拒绝/延迟他们的请求，5 秒前（20 个请求/秒）。

注意：如果使用单线程 Web 服务器（例如 Mongrel），放置显式延迟而不是拒绝可能会延迟该 Mongrel 上的其他待处理请求。换句话说，它将影响您的其他用户。如果合适的话，可能会有一个小的 javascript/ajax 响应来通知用户他们的速率受到限制。想一想 StackOverflow 如何防止您在网站上过于频繁地执行某些操作。