编辑“︁Gin限流中间件”︁

= Gin限流中间件 =

限流（Rate Limiting）是Web开发中一种重要的保护机制，用于控制客户端在特定时间窗口内对服务器的请求频率。在Gin框架中，可以通过中间件实现高效的请求限流，防止服务被恶意请求或突发流量压垮。

== 基本概念 ==
限流中间件通过以下核心参数工作：
* '''请求速率'''：单位时间内的最大请求数（如100次/分钟）
* '''时间窗口'''：速率计算的时间单位（秒/分钟/小时）
* '''存储方式'''：计数器存储位置（内存/Redis等）

数学表达式为：
<math>
Rate = \frac{Requests}{TimeWindow}
</math>

== 实现原理 ==
Gin限流中间件通常基于以下算法之一：
* '''令牌桶算法'''：系统以恒定速率向桶中添加令牌，请求需要获取令牌才能被处理
* '''漏桶算法'''：请求以恒定速率从桶中漏出处理
* '''固定窗口计数器'''：在固定时间窗口内统计请求次数

<mermaid>
graph LR
    A[请求进入] --> B{计数器+1}
    B -->|未超限| C[处理请求]
    B -->|已超限| D[返回429状态码]
</mermaid>

== 基础实现示例 ==
以下是基于内存计数器的简单实现：

<syntaxhighlight lang="go">
package main

import (
	"github.com/gin-gonic/gin"
	"time"
)

func RateLimiter(maxRequests int, window time.Duration) gin.HandlerFunc {
	counter := 0
	lastReset := time.Now()

	return func(c *gin.Context) {
		if time.Since(lastReset) > window {
			counter = 0
			lastReset = time.Now()
		}

		if counter >= maxRequests {
			c.AbortWithStatusJSON(429, gin.H{
				"error": "请求过于频繁",
			})
			return
		}

		counter++
		c.Next()
	}
}

func main() {
	r := gin.Default()
	// 限制每分钟100次请求
	r.Use(RateLimiter(100, time.Minute))
	r.GET("/api", func(c *gin.Context) {
		c.JSON(200, gin.H{"message": "成功"})
	})
	r.Run()
}
</syntaxhighlight>

'''输入/输出示例'''：
<pre>
# 正常请求
GET /api → 200 OK {"message":"成功"}

# 超出限制后
GET /api → 429 Too Many Requests {"error":"请求过于频繁"}
</pre>

== 高级实现方案 ==
对于分布式系统，需要使用Redis等外部存储：

<syntaxhighlight lang="go">
import "github.com/ulule/limiter/v3"
import "github.com/ulule/limiter/v3/drivers/store/memory"

func RedisRateLimiter() gin.HandlerFunc {
	rate := limiter.Rate{
		Period: 1 * time.Minute,
		Limit:  100,
	}
	store := memory.NewStore()
	instance := limiter.New(store, rate)

	return func(c *gin.Context) {
		context, err := instance.Get(c, limiter.GetIPKey(c.Request))
		if err != nil {
			c.AbortWithStatus(500)
			return
		}

		if context.Reached {
			c.AbortWithStatusJSON(429, gin.H{
				"error": "请求过于频繁",
			})
			return
		}
		c.Next()
	}
}
</syntaxhighlight>

== 实际应用场景 ==
1. '''API保护'''：防止单个客户端滥用公开API
2. '''防暴力破解'''：限制登录/注册等敏感接口的尝试频率
3. '''资源保护'''：确保后端服务不被突发流量击垮
4. '''商业API'''：实现不同付费等级的调用限制

== 配置建议 ==
* 生产环境建议使用Redis等持久化存储
* 根据接口重要性设置不同限流策略
* 结合日志监控调整限流阈值
* 对特殊IP/用户可设置白名单

== 性能考虑 ==
限流中间件会增加少量开销，主要来自：
* 计数器操作（内存/网络IO）
* 时间计算
* 锁竞争（高并发时）

建议通过基准测试确定适合的限流算法和参数。

== 最佳实践 ==
* 在HTTP响应头中添加限流信息（X-RateLimit-*）
* 提供清晰的错误信息
* 考虑实现"慢启动"机制逐步收紧限制
* 结合熔断机制提供多级保护

通过合理配置限流中间件，可以显著提高Gin应用的稳定性和安全性。

[[Category:后端框架]]
[[Category:Gin]]
[[Category:Gin中间件]]