Project Icon

node-rate-limiter-flexible

Node.js速率限制库 防御DDoS和暴力攻击

node-rate-limiter-flexible是一个Node.js速率限制库,用于计数和限制操作次数,防御DDoS和暴力攻击。支持Redis、内存、集群等多种存储后端,具有原子递增、高性能、灵活配置等特点。提供统一API,支持内存阻塞、流量突发等功能,可随应用增长扩展。适用于构建需要限制请求频率的Node.js应用。

npm 版本 npm node 版本 deno 版本

Logo

node-rate-limiter-flexible

rate-limiter-flexible 可以按键计数并限制操作次数,在任何规模下防止 DDoS 和暴力攻击。

它支持 RedisPrismaDynamoDB、进程 内存集群PM2MemcachedMongoDBMySQLPostgreSQL

内存限制器也可以在浏览器中使用。

原子递增。 内存或分布式环境中的所有操作都使用原子递增来防止竞态条件。

快速。 在集群中平均请求时间为 0.7ms,在分布式应用中为 2.5ms。参见基准测试

灵活。 可以组合限制器、在一定时间内阻止某个键、延迟操作、使用保险选项管理故障转移、在内存中配置智能键阻塞等等。

适应增长。 它为所有限制器提供统一的 API。无论应用如何增长,它都能应对。只需几分钟即可准备好限制器。

友好。 无论您喜欢使用哪个 node 包:redisioredissequelize/typeormknexmemcached、原生驱动或 mongoose。它都可以与之配合使用。

内存阻塞。 通过 inMemoryBlockOnConsumed 避免额外的存储请求。

使用 BurstyRateLimiter 允许流量突发

兼容 Deno 参见此示例

它使用固定窗口,因为这比滚动窗口快得多。 点击此处查看与其他库的比较基准测试

安装

npm i --save rate-limiter-flexible

yarn add rate-limiter-flexible

导入

// CommonJS
const { RateLimiterMemory } = require("rate-limiter-flexible");

// 或

// ECMAScript 
import { RateLimiterMemory } from "rate-limiter-flexible";
// 或
import RateLimiterMemory from "rate-limiter-flexible/lib/RateLimiterMemory.js";

基本示例

可以根据 IP 地址、用户 ID、授权令牌、API 路由或任何其他字符串来消耗点数。

const opts = {
  points: 6, // 6 点
  duration: 1, // 每秒
};

const rateLimiter = new RateLimiterMemory(opts);

rateLimiter.consume(remoteAddress, 2) // 消耗 2 点
    .then((rateLimiterRes) => {
      // 已消耗 2 点
    })
    .catch((rateLimiterRes) => {
      // 没有足够的点数可消耗
    });

RateLimiterRes 对象

如果没有错误,Promise 的 resolvereject 回调都会返回 RateLimiterRes 类的实例。 对象属性:

RateLimiterRes = {
    msBeforeNext: 250, // 下一次操作可以执行前的毫秒数
    remainingPoints: 0, // 当前持续时间内剩余的点数 
    consumedPoints: 5, // 当前持续时间内已消耗的点数 
    isFirstInDuration: false, // 是否为当前持续时间内的第一次操作 
}

您可能想为响应设置 HTTP 头:

const headers = {
  "Retry-After": rateLimiterRes.msBeforeNext / 1000,
  "X-RateLimit-Limit": opts.points,
  "X-RateLimit-Remaining": rateLimiterRes.remainingPoints,
  "X-RateLimit-Reset": new Date(Date.now() + rateLimiterRes.msBeforeNext)
}

优势:

完整文档请见 Wiki

中间件、插件和其他包

Wiki 上的一些可复制粘贴示例:

从其他包迁移

  • express-brute 附加优势:修复了竞态条件,移除了生产依赖
  • limiter 附加优势:支持多服务器,尊重队列顺序,原生 Promise

文档和示例

更新日志

有关详细更新日志,请参阅发布记录

基本选项

  • points

    默认值:4

    在持续时间内可以消耗的最大点数

  • duration

    默认值:1

    已消耗点数重置前的秒数。

    如果 duration 设为 0,则点数永不重置。

  • storeClient

    存储限制器必需

    必须是 redisioredismemcachedmongodbpgmysql2mysql 或任何其他相关池或连接。

Wiki上的其他选项:

平滑流量峰值:

特定选项:

API

详细说明请参阅Wiki。

基准测试

在一台服务器上设置4个工作进程的集群中,测试纯NodeJS端点的平均延迟。

1000个并发客户端,30秒内最大每秒2000个请求。

1. 内存     0.34 毫秒
2. 集群     0.69 毫秒
3. Redis    2.45 毫秒
4. Memcached 3.89 毫秒
5. Mongo    4.75 毫秒

500个并发客户端,30秒内最大每秒1000个请求

6. PostgreSQL 7.48 毫秒(连接池最大100)
7. MySQL     14.59 毫秒(连接池100)

注意,您可以使用inMemoryBlockOnConsumed选项加速限速器。

贡献

非常感谢,欢迎贡献!

在创建PR之前,请确保运行了npm run eslint,所有错误都必须修复。

您可以尝试运行npm run eslint-fix来修复一些问题。

任何带存储的新限速器都必须从RateLimiterStoreAbstract扩展。 它必须实现4个方法:

  • _getRateLimiterRes 将存储中的原始数据解析为RateLimiterRes对象。

  • _upsert 可以是原子的或非原子的upsert(增量)。它通过键插入或更新值,并返回原始数据。 如果它不进行原子upsert(增量),类名应该以NonAtomic为后缀,例如RateLimiterRedisNonAtomic

    它必须支持forceExpire模式以覆盖键的过期时间。

  • _get 通过键返回原始数据,如果没有键则返回null

  • _delete 删除所有与键相关的数据,删除成功返回true,如果未找到键则返回false

所有其他方法取决于存储。请参考RateLimiterRedisRateLimiterPostgres作为示例。

注意:所有更改都应该有测试覆盖。

项目侧边栏1项目侧边栏2
推荐项目
Project Cover

豆包MarsCode

豆包 MarsCode 是一款革命性的编程助手,通过AI技术提供代码补全、单测生成、代码解释和智能问答等功能,支持100+编程语言,与主流编辑器无缝集成,显著提升开发效率和代码质量。

Project Cover

AI写歌

Suno AI是一个革命性的AI音乐创作平台,能在短短30秒内帮助用户创作出一首完整的歌曲。无论是寻找创作灵感还是需要快速制作音乐,Suno AI都是音乐爱好者和专业人士的理想选择。

Project Cover

白日梦AI

白日梦AI提供专注于AI视频生成的多样化功能,包括文生视频、动态画面和形象生成等,帮助用户快速上手,创造专业级内容。

Project Cover

有言AI

有言平台提供一站式AIGC视频创作解决方案,通过智能技术简化视频制作流程。无论是企业宣传还是个人分享,有言都能帮助用户快速、轻松地制作出专业级别的视频内容。

Project Cover

Kimi

Kimi AI助手提供多语言对话支持,能够阅读和理解用户上传的文件内容,解析网页信息,并结合搜索结果为用户提供详尽的答案。无论是日常咨询还是专业问题,Kimi都能以友好、专业的方式提供帮助。

Project Cover

讯飞绘镜

讯飞绘镜是一个支持从创意到完整视频创作的智能平台,用户可以快速生成视频素材并创作独特的音乐视频和故事。平台提供多样化的主题和精选作品,帮助用户探索创意灵感。

Project Cover

讯飞文书

讯飞文书依托讯飞星火大模型,为文书写作者提供从素材筹备到稿件撰写及审稿的全程支持。通过录音智记和以稿写稿等功能,满足事务性工作的高频需求,帮助撰稿人节省精力,提高效率,优化工作与生活。

Project Cover

阿里绘蛙

绘蛙是阿里巴巴集团推出的革命性AI电商营销平台。利用尖端人工智能技术,为商家提供一键生成商品图和营销文案的服务,显著提升内容创作效率和营销效果。适用于淘宝、天猫等电商平台,让商品第一时间被种草。

Project Cover

AIWritePaper论文写作

AIWritePaper论文写作是一站式AI论文写作辅助工具,简化了选题、文献检索至论文撰写的整个过程。通过简单设定,平台可快速生成高质量论文大纲和全文,配合图表、参考文献等一应俱全,同时提供开题报告和答辩PPT等增值服务,保障数据安全,有效提升写作效率和论文质量。

投诉举报邮箱: service@vectorlightyear.com
@2024 懂AI·鲁ICP备2024100362号-6·鲁公网安备37021002001498号