背景:
一个强大的软件产品是由许多不同的组件结合完成的, 其中在每一个产品中离不开的就是api系统, api系统在整个产品中居于中枢地位, 包括系统内部组件, 及客户对产品的对接都要与api打交道, 这就需要最大限度的提高api的处理能力, 并且防范无效请求, 还有黑客的恶意攻击。
限流可以在nginx层进行设置, 当然在api业务层做更加灵活、简便, 今天就讲述下flask_limiter在flask应用中的使用。
flask_limiter介绍
flask_limiter 是对limiter库包装成flask的扩展组件。 提供对flask访问路径的频率限制。 对于其后端数据保存有三种方式可供选择:
redis, memory, memcache。
简单应用步骤
1. 初始一个Limiter对象, 相关参数后续会做详细介绍, 图中的key_func参数是你的限制策略关键字, 上图是对访问的源IP做了限制,
在我们的业务中是针对于客户ID做了访问限制, 这个根据业务需要自己决定, default_limits 是具体的限制策略内容也就是频率, 这个配置是全局配置会对flask的所有url生效
2. 在每个url的view中添加decorator, 上图出现了两种limiter.limit 设定限制的频率, 此处的优先级高于default_limits,
limiter.exempt 屏蔽限制策略。
频率限制的几种表现形式
10 per hour
10/hour
10/hour;100/day;2000 per year
100/day, 500/7days
10 per hour 以 'per' 为分隔符; 10/hour 以'/'做分隔符;10/hour;100/day;2000 per year 以‘;’分隔设置多个,
100/day, 500/7days 可以添加复数
装饰器
Limiter.limit()
1. 单个
@app.route("....")
@limiter.limit("100/day;10/hour;1/minute")
def my_route()
2. 多个
@app.route("....")
@limiter.limit("100/day")
@limiter.limit("10/hour")
@limiter.limit("1/minute")
def my_route():
...
3. 对单个url指定策略key值
def my_key_func():
...
@app.route("...")
@limiter.limit("100/day", my_key_func)
def my_route():
...
4. 动态获取频率限制策略(在策略需要从数据库或者远程api获取的情况下使用)
def rate_limit_from_config():
return current_app.config.get("CUSTOM_LIMIT", "10/s")
@app.route("...")
@limiter.limit(rate_limit_from_config)
def my_route():
...
5. 一些特定情况下屏蔽策略(比如是超级用户请求)
@app.route("/expensive")
@limiter.limit("100/day", exempt_when=lambda: current_user.is_admin)
def expensive_route():
...
Limiter.shared_limit() 共享限制策略
1. 定义
mysql_limit = limiter.shared_limit("100/hour", scope="mysql")
@app.route("..")
@mysql_limit
def r1():
...
@app.route("..")
@mysql_limit
def r2():
...
2. 动态共享限制策略(scope不指定的时候默认是endpoint_name-‘%s.%s’ %(obj.__module__, obj.__name__))
def host_scope(endpoint_name):
return request.host
host_limit = limiter.shared_limit("100/hour", scope=host_scope)
@app.route("..")
@host_limit
def r1():
...
@app.route("..")
@host_limit
def r2():
...
3. tip
与单个limiter一样可以叠加多个share_limiter装饰器
可接受key_function参数
也可结束动态的策略配置函数, 与limiter一致
Limiter.exempt() (屏蔽策略)
Limiter.request_filter() (符合条件的屏蔽策略)
@limiter.request_filter
def header_whitelist():
return request.headers.get("X-Internal", "") == "true"
@limiter.request_filter
def ip_whitelist():
return request.remote_addr == "127.0.0.1"
配置详解
RATELIMIT_DEFAULT 默认策略, 逗号分隔('1/minute,100/hour'), 只要存在其他配置会失效
RATELIMIT_APPLICATION 应用级别的策略, 逗号分隔('1/minute,100/hour'), 不会被覆盖, 存储的key的scope为global
RATELIMIT_STORAGE_URL memory:// or redis://host:port or memcached://host:port, 后端存储数据的方式。
RATELIMIT_STORAGE_OPTIONS dict类型,limits.storage.Storage子类, 比如 {"redis": RedisStorage}。
RATELIMIT_STRATEGY fixed-window 或者 fixed-window-elastic-expiry 或者 moving-window, 后续对三种模式详细讲解。
RATELIMIT_ENABLED 是否应用速率限制策略, 默认True
RATELIMIT_HEADERS_ENABLED 是否返回速率限制的相关信息到reponse header中默认False
X-RateLimit-Reset 重置时间戳, = time.time() + get_expiry -策略的执行周期单位‘秒’
X-RateLimit-Remaining 活跃的请求数量
X-RateLimit-Limit 策略内请求个数限制
Retry-After 到重置时间的秒数。
RATELIMIT_HEADER_LIMIT,RATELIMIT_HEADER_RESET,RATELIMIT_HEADER_REMAINING,RATELIMIT_HEADER_RETRY_AFTER对应配置上边的header的键值字符串。
RATELIMIT_SWALLOW_ERRORS 默认False即可
RATELIMIT_IN_MEMORY_FALLBACK 后端存储异常使用的策略配置
RATELIMIT_KEY_PREFIX 存储key的前缀配置
三大策略算法解析
1.fixed-window (固定窗口)
以5/minute为例
由图可以看出, 第一次hit到url时添加key, 类似"LIMITER/key_function/live_api.live_numbers/5/1/minute"的键值,默认值为0, 在周期内请求超过5次, 后续请求全部返回429, 第二个周期开始时key会被清除, 如此往复。
缺点:
大量请求可以集中在一个周期的结束时,及下一个周期的开始, 黑客可以集中在这段时间攻击系统。
2. fixed-window-elastic-expiry(固定窗口的伸展周期)
与fixed-window区别在于, 每次hit到url时key的过期时间都会延续一个周期, 如果在达到速率限制条件时持续请求将永远不会成功, 必须停止请求超过一周期时间, 才可以继续请求。
3. moving-window(移动窗口)
以5/minute为例
移动窗口策略在内部维护一个列表[],当列表的长度小于5时, 就不会满足速率限制条件, 当长度大于5时, 比如[t6, t5, t4, t3, t2, t1], 此时就会拿出t1对象, 当t1的请求时的时间戳大于等于now-expiry时拒绝请求,在t1的存在于列表中的时间大于一个周期就会被清除。
由此可以看出此策略动态维护一个列表, 比如如果策略为2000/minite 那这样可能是长度为2000的列表长度维护, 相比前两种会有更大的内存花销。