Limitation du débit de l'API via Node+Redi

La limitation de débit protège et améliore la disponibilité des services basés sur l'API. Si vous parlez à une API et recevez un code d'état de réponse HTTP 429 Too Many Requests, votre débit est limité. Cela signifie que vous avez dépassé le nombre de demandes autorisées dans un temps donné. Tout ce que vous avez à faire est de ralentir, d’attendre un moment et de réessayer.

Recommandation de tutoriel vidéo : Tutoriel nodejs

Pourquoi limiter le débit ?

Lorsque vous envisagez de limiter vos propres services basés sur des API, vous devez peser les compromis entre l'expérience utilisateur, la sécurité et les performances.

La raison la plus courante pour contrôler le flux de données est de maintenir la disponibilité des services basés sur des API. Mais il existe également des avantages en matière de sécurité, car une augmentation accidentelle ou intentionnelle du trafic entrant peut consommer des ressources précieuses et avoir un impact sur la disponibilité pour les autres utilisateurs.

En contrôlant le taux de demandes entrantes, vous pouvez :

• Garantir que les services et ressources ne sont pas « inondés ».
• Atténuer les attaques par force brute
• Prévenir les attaques par déni de service distribué (DDOS)

Comment mettre en œuvre une limitation de débit ?

La limitation de débit peut être mise en œuvre au niveau du client, au niveau de l'application, au niveau de l'infrastructure ou n'importe où entre les deux. Il existe plusieurs façons de contrôler le trafic entrant vers votre service API :

• Par utilisateur : suivez les appels passés par un utilisateur à l'aide d'une clé API, d'un jeton d'accès ou d'une adresse IP
• Par zone géographique : Par exemple baisser la limite de débit pour chaque zone géographique aux heures de pointe de la journée
• Par serveur : Si vous avez plusieurs serveurs pour gérer différents appels à l'API, vous pouvez imposer des limites de débit plus strictes pour l'accès à des ressources plus coûteuses.

Vous pouvez utiliser n'importe laquelle de ces limites de débit (ou même une combinaison).

Peu importe la manière dont vous choisissez de la mettre en œuvre, l'objectif de la limitation de débit est d'établir un point de contrôle qui refuse ou accepte les demandes d'accès à vos ressources. De nombreux langages et frameworks de programmation disposent de fonctionnalités ou de middleware intégrés pour y parvenir, ainsi que d'options pour divers algorithmes de limitation de débit.

Voici une façon de créer votre propre limiteur de débit à l'aide de Node et Redis :

• Créez une application Node

• Ajouter une limiteur de débit utilisant Redis

• Test dans Postman

Voir des exemples de code sur GitHub.

Avant de commencer, assurez-vous que Node et Redis sont installés sur votre ordinateur.

Étape 1 : Configurer une application Node

Configurer une nouvelle application Node à partir de la ligne de commande. Acceptez les options par défaut via l'invite CLI ou ajoutez l'indicateur —yes.

$ npm init --yes

Si les options par défaut ont été acceptées lors de la configuration du projet, créez un fichier nommé index.js pour le point d'entrée.

$ touch index.js

Installez Express Web Framework, puis initialisez le serveur dans index.js.

const express = require('express')
const app = express()
const port = process.env.PORT || 3000

app.get('/', (req, res) => res.send('Hello World!'))
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))

Démarrez le serveur depuis la ligne de commande.

$ node index.js

De retour dans index.js, créez un itinéraire qui vérifie d'abord la limite de débit et autorise l'accès à la ressource si l'utilisateur ne dépasse pas la limite.

app.post('/', async (req, res) => {
  async function isOverLimit(ip) {
    // to define
  }
  // 检查率限制
  let overLimit = await isOverLimit(req.ip)
  if (overLimit) {
    res.status(429).send('Too many requests - try again later')
    return
  }
  // 允许访问资源
  res.send("Accessed the precious resources!")
})

Dans la prochaine étape, nous définirons la fonction limiteur de débit isOverLimit.

Étape 2 : Ajouter un limiteur de débit à l'aide de Redis

Redis est une base de données clé-valeur en mémoire, il peut donc récupérer des données très rapidement. La mise en œuvre de la limitation de débit avec Redis est également très simple.

• Stocke une clé comme l'adresse IP de l'utilisateur.
• Augmenter le nombre d'appels effectués à partir de cette IP
• Expirer les enregistrements après une période de temps spécifiée

L'algorithme de limitation de débit présenté ci-dessous est un Exemple de comptoir à fenêtre coulissante. Un utilisateur n’atteindra jamais la limite de débit s’il soumet un nombre modéré d’appels ou s’il les espace dans le temps. Les utilisateurs qui dépassent la demande maximale dans la fenêtre de 10 secondes doivent attendre suffisamment de temps pour reprendre leurs demandes.

Installez un client Redis nommé ioredis pour Node à partir de la ligne de commande.

$ npm install ioredis

Démarrez le serveur Redis localement.

$ redis-server

demande et initialise ensuite le client Redis dans index.js .

const redis = require('ioredis')
const client = redis.createClient({
  port: process.env.REDIS_PORT || 6379,
  host: process.env.REDIS_HOST || 'localhost',
})
client.on('connect', function () {
  console.log('connected');
});

Définissez la fonction isOverLimit que nous avons commencé à écrire à l'étape précédente. Selon ce mode de Redis, un compteur est enregistré en fonction de l'IP.

async function isOverLimit(ip) {
  let res
  try {
    res = await client.incr(ip)
  } catch (err) {
    console.error('isOverLimit: could not increment key')
    throw err
  }
  console.log(`${ip} has value: ${res}`)
  if (res > 10) {
    return true
  }
  client.expire(ip, 10)
}

C'est le limiteur de débit.

Lorsqu'un utilisateur appelle l'API, nous vérifions Redis pour voir si l'utilisateur a dépassé la limite. Si tel est le cas, l'API renverra immédiatement un code d'état HTTP 429 avec le message Too many requests — try again later . Si l'utilisateur est dans les limites, nous passons au bloc de code suivant où nous pouvons autoriser l'accès à une ressource protégée (comme une base de données).

Lors de la vérification des limites de débit, nous trouvons l'enregistrement de l'utilisateur dans Redis et incrémentons son nombre de demandes. S'il n'y a pas d'enregistrement pour cet utilisateur dans Redis, nous créons un nouvel enregistrement. Enfin, chaque enregistrement expirera dans les 10 secondes suivant l'activité la plus récente.

Dans l'étape suivante, assurez-vous que notre limiteur de vitesse fonctionne correctement.

Étape 3 : Testez dans Postman

Enregistrez les modifications et redémarrez le serveur. Nous utiliserons Postman pour envoyer la requête POST à notre serveur API, qui s'exécute localement sur http:// localhost:3000.

Continuez à envoyer des demandes en succession rapide pour atteindre votre limite de débit.

Réflexions finales sur la limitation de débit

Ceci est un exemple simple de limiteur de débit pour Node et Redis, et c'est juste le début. Il existe de nombreuses stratégies et outils que vous pouvez utiliser pour structurer et mettre en œuvre vos limites de taux. Et il existe d'autres améliorations qui peuvent être explorées avec cet exemple, telles que :

• Dans le corps de la réponse ou sous forme d'en-tête Retry-after, indiquez à l'utilisateur combien de temps il doit attendre avant de réessayer
• Enregistrez les requêtes qui atteignent la limite de débit pour comprendre le comportement des utilisateurs et avertir des attaques malveillantes
• Essayez d'utiliser d'autres algorithmes de limitation de débit ou d'autres middlewares

N'oubliez pas que lorsque vous En recherchant les limites de l'API, vous évaluez les performances, la sécurité et l'expérience utilisateur. Votre solution idéale de limitation de débit évoluera au fil du temps, en tenant compte de ces facteurs.

Adresse originale en anglais : https://codeburst.io/api-rate-limiting-with-node-and-redis-95354259c768

Plus de connaissances liées à la programmation, veuillez visiter : Introduction à la programmation ! !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!