这是我参与「第三届青训营 -后端场」笔记创作活动的第2篇笔记

如果没有接口限流，可能会导致服务器负载不平衡，暴力破解密码，恶意请请求，导致服务器额外费用，拒绝服务攻击等。

常见的接口限流算法有：固定窗口计数器；滑动窗口计数器；漏桶算法；令牌桶算法等。

1. 固定窗口计数器

比如说每小时限制请求 10 次，超过 10 次的直接丢弃。它有个缺点，就是有时会超过 10 次，最多达到 2 倍。比如说固定窗口为整点，8 点 50 到 9 点之间发送了 10 个请求，9 点 到 9 点 10 分又发送了 10 个请求，虽说都被放行，但 8 点 50 到 9 点 50 这一个小时内，发送了 20 个请求。

2. 滑动窗口计数器

这个解决了 1 的问题，但是时间区间的精度划分越高，算法所需的空间容量就越大。

3. 漏桶算法

漏桶算法多使用队列实现，服务的请求会存到队列中，服务的提供方则按照固定的速率从队列中取出请求并执行，过多的请求则放在队列中排队或直接拒绝。漏桶算法的缺陷也很明显，当短时间内有大量的突发请求时，即便此时服务器没有任何负载，每个请求也都得在队列中等待一段时间才能被响应。

4. 令牌桶算法

令牌以固定速率生成。生成的令牌放入令牌桶中存放，如果令牌桶满了则多余的令牌会直接丢弃，当请求到达时，会尝试从令牌桶中取令牌，取到了令牌的请求可以执行。如果桶空了，那么尝试取令牌的请求会被直接丢弃。令牌桶算法既能够将所有的请求平均分布到时间区间内，又能接受服务器能够承受范围内的突发请求。

IP 地址限流？

既然要根据 IP 地址进行限流，那就会产生两个问题，一是 IP 地址的保存就是一个问题，如果接口是集群，你还要将 IP 地址保存在一个集中的数据库里，最好是 redis。二是会误伤正常请求，因为一个大的局域网，其出口 IP 是一个，那么限制了这个 IP 的请求，可能导致正常用户被困。