node-rate-limiter-flexible

node-rate-limiter-flexible

rate-limiter-flexible 可以按键计数并限制操作次数，在任何规模下防止 DDoS 和暴力攻击。

它支持 Redis、Prisma、DynamoDB、进程 内存、集群 或 PM2、Memcached、MongoDB、MySQL 和 PostgreSQL。

内存限制器也可以在浏览器中使用。

原子递增。 内存或分布式环境中的所有操作都使用原子递增来防止竞态条件。

快速。 在集群中平均请求时间为 0.7ms，在分布式应用中为 2.5ms。参见基准测试。

灵活。 可以组合限制器、在一定时间内阻止某个键、延迟操作、使用保险选项管理故障转移、在内存中配置智能键阻塞等等。

适应增长。 它为所有限制器提供统一的 API。无论应用如何增长，它都能应对。只需几分钟即可准备好限制器。

友好。 无论您喜欢使用哪个 node 包：redis 或 ioredis、sequelize/typeorm 或 knex、memcached、原生驱动或 mongoose。它都可以与之配合使用。

内存阻塞。 通过 inMemoryBlockOnConsumed 避免额外的存储请求。

使用 BurstyRateLimiter 允许流量突发。

兼容 Deno 参见此示例

它使用固定窗口，因为这比滚动窗口快得多。 点击此处查看与其他库的比较基准测试

安装

npm i --save rate-limiter-flexible

yarn add rate-limiter-flexible

导入

// CommonJS
const { RateLimiterMemory } = require("rate-limiter-flexible");

// 或

// ECMAScript 
import { RateLimiterMemory } from "rate-limiter-flexible";
// 或
import RateLimiterMemory from "rate-limiter-flexible/lib/RateLimiterMemory.js";

基本示例

可以根据 IP 地址、用户 ID、授权令牌、API 路由或任何其他字符串来消耗点数。

const opts = {
  points: 6, // 6 点
  duration: 1, // 每秒
};

const rateLimiter = new RateLimiterMemory(opts);

rateLimiter.consume(remoteAddress, 2) // 消耗 2 点
    .then((rateLimiterRes) => {
      // 已消耗 2 点
    })
    .catch((rateLimiterRes) => {
      // 没有足够的点数可消耗
    });

RateLimiterRes 对象

如果没有错误，Promise 的 resolve 和 reject 回调都会返回 RateLimiterRes 类的实例。 对象属性：

RateLimiterRes = {
    msBeforeNext: 250, // 下一次操作可以执行前的毫秒数
    remainingPoints: 0, // 当前持续时间内剩余的点数 
    consumedPoints: 5, // 当前持续时间内已消耗的点数 
    isFirstInDuration: false, // 是否为当前持续时间内的第一次操作 
}

您可能想为响应设置 HTTP 头：

const headers = {
  "Retry-After": rateLimiterRes.msBeforeNext / 1000,
  "X-RateLimit-Limit": opts.points,
  "X-RateLimit-Remaining": rateLimiterRes.remainingPoints,
  "X-RateLimit-Reset": new Date(Date.now() + rateLimiterRes.msBeforeNext)
}

优势：

• 无竞态条件
• 无生产依赖
• 内置 TypeScript 声明
• 针对强大的 DDoS 攻击（如每秒 10 万请求）的阻塞策略 在此阅读相关内容和基准测试
• 作为数据库/存储宕机时的应急解决方案的保险策略 在此阅读保险策略相关内容
• 无需额外软件即可在集群或 PM2 中工作 查看 RateLimiterCluster 基准测试和详细描述
• 有用的 get、set、block、delete、penalty 和 reward 方法

完整文档请见 Wiki

中间件、插件和其他包

• Express 中间件
• Koa 中间件
• Hapi 插件
• GraphQL graphql-rate-limit-directive
• NestJS 尝试 nestjs-rate-limiter
• 基于 Fastify 的 NestJS 应用尝试 nestjs-fastify-rate-limiter

Wiki 上的一些可复制粘贴示例：

• 最小密码暴力破解保护
• 登录端点保护
• 防止 Websocket 连接泛滥
• 动态阻塞时长
• 授权用户特定限制
• 应用不同部分的不同限制
• 应用内存阻塞策略
• 设置保险策略
• 第三方 API、爬虫、机器人速率限制

从其他包迁移

• express-brute 附加优势：修复了竞态条件，移除了生产依赖
• limiter 附加优势：支持多服务器，尊重队列顺序，原生 Promise

文档和示例

• 选项
• API 方法
• Redis
• 内存
• DynamoDb
• Prisma
• BurstyRateLimiter 支持流量突发
• Mongo（支持分片）
• MySQL（支持 Sequelize 和 Knex）
• Postgres（支持 Sequelize、TypeORM 和 Knex）
• RateLimiterCluster（PM2 集群文档请阅读此处）
• Memcache
• RateLimiterUnion 组合 2 个或更多限制器作为单一限制器
• RLWrapperBlackAndWhite 黑白名单
• RateLimiterQueue 带 FIFO 队列的速率限制器

更新日志

有关详细更新日志，请参阅发布记录。

基本选项

• points

  默认值：4

  在持续时间内可以消耗的最大点数

• duration

  默认值：1

  已消耗点数重置前的秒数。

  如果 duration 设为 0，则点数永不重置。

• storeClient

  存储限制器必需

  必须是 redis、ioredis、memcached、mongodb、pg、mysql2、mysql 或任何其他相关池或连接。

Wiki上的其他选项：

• keyPrefix 使不同限速器的键值唯一。
• blockDuration 如果消耗超过点数，则阻塞N秒。
• inMemoryBlockOnConsumed 避免向存储发送额外请求。
• inMemoryBlockDuration
• insuranceLimiter 以更少的努力使其更稳定。
• storeType 如果使用knex，必须设置为knex。
• dbName 存储点数的位置。
• tableName 表/集合。
• tableCreated MySQL或PostgreSQL中的表是否已创建。
• clearExpiredByTimeout 适用于MySQL和PostgreSQL。

平滑流量峰值：

• execEvenly
• execEvenlyMinDelayMs

特定选项：

• indexKeyPrefix MongoDB的组合索引。
• timeoutMs 用于集群。
• rejectIfRedisNotReady
• useRedisPackage
• useRedis3AndLowerPackage
• customIncrTtlLuaScript

API

详细说明请参阅Wiki。

• consume(key, points = 1) 按键消耗点数。
• get(key) 获取RateLimiterRes或null。
• set(key, points, secDuration) 按键设置点数。
• block(key, secDuration) 阻塞键secDuration秒。
• delete(key) 重置已消耗的点数。
• deleteInMemoryBlockedAll
• penalty(key, points = 1) 增加当前持续时间内已消耗的点数。
• reward(key, points = 1) 减少当前持续时间内已消耗的点数。
• getKey(key) 获取内部带前缀的键。

基准测试

在一台服务器上设置4个工作进程的集群中，测试纯NodeJS端点的平均延迟。

1000个并发客户端，30秒内最大每秒2000个请求。

1. 内存     0.34 毫秒
2. 集群     0.69 毫秒
3. Redis    2.45 毫秒
4. Memcached 3.89 毫秒
5. Mongo    4.75 毫秒

500个并发客户端，30秒内最大每秒1000个请求

6. PostgreSQL 7.48 毫秒（连接池最大100）
7. MySQL     14.59 毫秒（连接池100）

注意，您可以使用inMemoryBlockOnConsumed选项加速限速器。

贡献

非常感谢，欢迎贡献！

在创建PR之前，请确保运行了npm run eslint，所有错误都必须修复。

您可以尝试运行npm run eslint-fix来修复一些问题。

任何带存储的新限速器都必须从RateLimiterStoreAbstract扩展。 它必须实现4个方法：

• _getRateLimiterRes 将存储中的原始数据解析为RateLimiterRes对象。

• _upsert 可以是原子的或非原子的upsert（增量）。它通过键插入或更新值，并返回原始数据。 如果它不进行原子upsert（增量），类名应该以NonAtomic为后缀，例如RateLimiterRedisNonAtomic。

  它必须支持forceExpire模式以覆盖键的过期时间。

• _get 通过键返回原始数据，如果没有键则返回null。

• _delete 删除所有与键相关的数据，删除成功返回true，如果未找到键则返回false。

所有其他方法取决于存储。请参考RateLimiterRedis或RateLimiterPostgres作为示例。

注意：所有更改都应该有测试覆盖。