如何利用 limit_req_zone 和请求 URI 配合,对特定负载均衡接口进行精准防护?
- 内容介绍
- 相关推荐
本文共计788个文字,预计阅读时间需要4分钟。
直接使用`limit_req_zone结合`$uri`变量,就能对特定接口进行精确的流量限制,这是保障负载均衡后端核心路径(如登录、下单、搜索等)最常用且最有效的方法。
为什么选 $uri 而不是只用 IP?
单靠 IP 限流容易误伤——同一出口(如企业 NAT、校园网)下多个用户共用一个 IP,限制过严会影响正常访问;而只按 IP 放宽,又挡不住单个用户高频刷某个接口。用 $uri 可以把防护粒度落到具体路径上,让“/login”、“/api/order”这些敏感接口单独受控,其他静态资源或首页则不受影响。
基础配置写法(必须放在 http 块)
在 nginx.conf 的 http { } 区域中添加:
limit_req_zone $uri zone=byuri:10m rate=5r/s;
说明:
• $uri 是标准化后的请求路径(不含参数和查询字符串),例如 /api/v1/login;
• zone=byuri:10m 表示分配 10MB 共享内存,约可存储 16 万个不同 URI 的计数状态;
• rate=5r/s 意味着每个唯一 URI 每秒最多处理 5 个请求。
在 upstream 对应的 location 中启用
假设你已配置好负载均衡上游组:
upstream backend_api { server 10.0.1.10:8000; server 10.0.1.11:8000; }
那么在匹配关键接口的 location 块里启用限流:
location = /api/v1/login { limit_req zone=byuri burst=10 nodelay; proxy_pass http://backend_api; proxy_set_header Host $host; }
关键点:
• 使用 = 精确匹配,避免正则开销,也防止路径混淆(如 /api/v1/login/test 不会被误限);
• burst=10 允许短时突发 10 个请求进入队列;
• 加 nodelay 表示不排队等待,超速即刻拒绝(返回 503),降低后端压力;不加则会延迟处理,可能堆积连接。
进阶:组合 IP + URI 提升精度
若需防止单个用户反复刷多个接口(比如用脚本轮询 /login、/check、/captcha),可组合变量定义更细粒度规则:
limit_req_zone "$binary_remote_addr$uri" zone=ipuri:10m rate=3r/s;
这样同一个 IP 访问不同 URI 会算作不同键,既防单点爆破,又避免跨用户误伤。注意内存占用略高,但 10MB zone 仍可支撑十余万种组合。
验证与日志辅助
开启限流状态记录,方便排查:
log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$limit_req_status"'; access_log /var/log/nginx/access.log main;
日志中 $limit_req_status 字段会显示 passed、rejected 或 delayed,可配合 grep rejected 快速定位被拦截的 URI 和来源。
本文共计788个文字,预计阅读时间需要4分钟。
直接使用`limit_req_zone结合`$uri`变量,就能对特定接口进行精确的流量限制,这是保障负载均衡后端核心路径(如登录、下单、搜索等)最常用且最有效的方法。
为什么选 $uri 而不是只用 IP?
单靠 IP 限流容易误伤——同一出口(如企业 NAT、校园网)下多个用户共用一个 IP,限制过严会影响正常访问;而只按 IP 放宽,又挡不住单个用户高频刷某个接口。用 $uri 可以把防护粒度落到具体路径上,让“/login”、“/api/order”这些敏感接口单独受控,其他静态资源或首页则不受影响。
基础配置写法(必须放在 http 块)
在 nginx.conf 的 http { } 区域中添加:
limit_req_zone $uri zone=byuri:10m rate=5r/s;
说明:
• $uri 是标准化后的请求路径(不含参数和查询字符串),例如 /api/v1/login;
• zone=byuri:10m 表示分配 10MB 共享内存,约可存储 16 万个不同 URI 的计数状态;
• rate=5r/s 意味着每个唯一 URI 每秒最多处理 5 个请求。
在 upstream 对应的 location 中启用
假设你已配置好负载均衡上游组:
upstream backend_api { server 10.0.1.10:8000; server 10.0.1.11:8000; }
那么在匹配关键接口的 location 块里启用限流:
location = /api/v1/login { limit_req zone=byuri burst=10 nodelay; proxy_pass http://backend_api; proxy_set_header Host $host; }
关键点:
• 使用 = 精确匹配,避免正则开销,也防止路径混淆(如 /api/v1/login/test 不会被误限);
• burst=10 允许短时突发 10 个请求进入队列;
• 加 nodelay 表示不排队等待,超速即刻拒绝(返回 503),降低后端压力;不加则会延迟处理,可能堆积连接。
进阶:组合 IP + URI 提升精度
若需防止单个用户反复刷多个接口(比如用脚本轮询 /login、/check、/captcha),可组合变量定义更细粒度规则:
limit_req_zone "$binary_remote_addr$uri" zone=ipuri:10m rate=3r/s;
这样同一个 IP 访问不同 URI 会算作不同键,既防单点爆破,又避免跨用户误伤。注意内存占用略高,但 10MB zone 仍可支撑十余万种组合。
验证与日志辅助
开启限流状态记录,方便排查:
log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$limit_req_status"'; access_log /var/log/nginx/access.log main;
日志中 $limit_req_status 字段会显示 passed、rejected 或 delayed,可配合 grep rejected 快速定位被拦截的 URI 和来源。