php如何对api接口限流

什么是接口限流

那么什么是限流呢？顾名思义，限流就是限制流量，包括并发的流量和一定时间内的总流量，就像你宽带包了1个G的流量，用完了就没了，所以控制你的使用频率和单次使用的总消耗。通过限流，我们可以很好地控制系统的qps，从而达到保护系统或者接口服务器稳定的目的。

接口限流的常用算法

计数器法

计数器法是限流算法里最简单也是最容易实现的一种算法。比如我们规定，对于A接口来说，我们1分钟的访问次数不能超过100个。那么我们可以这么做：在一开始的时候，我们可以设置一个计数器counter，每当一个请求过来的时候，counter就加1，如果counter的值大于100并且该请求与第一个请求的间隔时间还在1分钟之内，那么说明请求数过多；如果该请求与第一个请求的间隔时间大于1分钟，且counter的值还在限流范围内，那么就重置counter，具体算法的示意图如下：

伪代码如下：

class CounterDemo{
 private $timeStamp;
 public $reqCount=0;
 public $limit=100;//时间窗口内最大请求数
 public $interval=1000; //时间窗口 ms
 public function __construct()
 {
 $this->timeStamp = time();
 }
 public function grant(){
 $now=time();
 if($now<$this->timeStamp+$this->interval){
 //时间窗口内
 $this->reqCount++;
 return $this->reqCount<=$this->limit;
 }else{
 // 超时后重置
 $this->timeStamp=time();
 $this->reqCount=1;
 return true;
 }
 }
}

这个算法看起来简单但是有个很严重的问题,那就是临界问题，看下图：

从上图中我们可以看到，假设有一个恶意用户，他在0:59时，瞬间发送了100个请求，并且1:00又瞬间发送了100个请求，那么其实这个用户在 1秒里面，瞬间发送了200个请求。我们刚才规定的是1分钟最多100个请求，也就是每秒钟最多1.7个请求，用户通过在时间窗口的重置节点处突发请求， 可以瞬间超过我们的速率限制。用户有可能通过算法的这个漏洞，瞬间压垮我们的应用。