Go 语言实现 API 限流的最佳实践

背景与重要性

在构建高性能、高可用的 Web 应用时，API 限流是至关重要的。API 限流可以有效防止因流量暴增或恶意攻击导致的服务器资源耗尽，从而保护系统的稳定性和可用性。

API 限流的常见算法

1. 计数器算法（Fixed Window）

最简单的限流算法，在一定时间窗口内（如1分钟）限制请求数量。如果超过限制，则拒绝后续请求。虽然实现简单，但在时间窗口的边界处可能会出现流量瞬间超标的问题。

2. 滑动窗口算法（Sliding Window）

滑动窗口算法通过将时间窗口划分为更小的时间片，并记录每个时间片的请求数来缓解“突发流量”问题。通过统计当前和之前时间片的请求数，可以更精确地控制请求速率。

3. 令牌桶算法（Token Bucket）

该算法允许在固定速率下发放令牌，每个请求需要消耗一个令牌。如果令牌用尽，请求将被拒绝。令牌桶算法可以控制平均请求速率，并允许一定程度的突发流量。

使用 Go 实现 API 限流

1. 基于 golang.org/x/time/rate 包的令牌桶限流

package main

import (
    "fmt"
    "net/http"
    "golang.org/x/time/rate"
)

func main() {
    limiter := rate.NewLimiter(10, 100) // 每秒 10 个请求，最大可存储 100 个令牌

    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        if !limiter.Allow() { // 检查令牌桶是否有令牌
            http.Error(w, "Too Many Requests", http.StatusTooManyRequests)
            return
        }
        fmt.Fprintln(w, "Hello, Gopher!")
    })

    http.ListenAndServe(":8080", nil)
}

2. 使用 Redis 实现分布式限流

package main

import (
    "fmt"
    "net/http"
    "time"

    "github.com/go-redis/redis/v8"
)

func main() {
    client := redis.NewClient(&redis.Options{
        Addr: "localhost:6379",
    })

    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        key := fmt.Sprintf("ratelimit:%s", r.RemoteAddr)
        count, err := client.Incr(ctx, key).Result()
        if err != nil {
            http.Error(w, "Internal Server Error", http.StatusInternalServerError)
            return
        }

        client.Expire(ctx, key, time.Minute) // 设置过期时间为 1 分钟

        if count > 10 { // 超过限制
            http.Error(w, "Too Many Requests", http.StatusTooManyRequests)
            return
        }

        fmt.Fprintln(w, "Hello, Gopher!")
    })

    http.ListenAndServe(":8080", nil)
}

总结

API 限流是确保 Web 应用高可用性的重要措施。通过选择适当的限流算法（如计数器算法、滑动窗口算法、令牌桶算法），可以有效防止系统过载。Go 语言为实现这些限流策略提供了丰富的工具和库，开发者可以根据具体需求选择合适的方案并进行实现。