FastAPI精确限流:API级防刷实战

最新推荐文章于 2026-06-23 13:36:18 发布
原创 最新推荐文章于 2026-06-23 13:36:18 发布 · 563 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#fastapi #api限流 #接口限流 #接口防刷

在 FastAPI 中实现 精确到 API 接口层面的限流,构建一个高可用、防刷、防滥用系统。

目标:对每个 API 接口独立限流(如 /api/v1/users 每秒最多 10 次请求),而不是全局统一限流。

✅ 推荐方案:使用 slowapi + redis 实现 API 级限流

这是目前 FastAPI 社区最成熟、最灵活 的方案。

📦 1. 安装依赖

pip install fastapi slowapi redis

slowapi 是 FastAPI 的限流扩展,支持基于路径、用户、IP 等维度的限流。

🛠️ 2. 配置 Redis 作为限流存储

限流需要一个持久化存储(如 Redis)来记录请求频率。

# main.py
from fastapi import FastAPI
from slowapi import Limiter, _rate_limit_exceeded_handler
from slowapi.util import get_remote_address
from slowapi.errors import RateLimitExceeded
import redis

# 初始化 Redis 客户端
redis_client = redis.from_url("redis://localhost:6379/0")

# 初始化限流器(基于 Redis)
limiter = Limiter(key_func=get_remote_address, storage_uri="redis://localhost:6379/0")

app = FastAPI()

# 注册限流异常处理
app.state.limiter = limiter
app.add_exception_handler(RateLimitExceeded, _rate_limit_exceeded_handler)

🔐 3. 对每个 API 接口精确限流

使用 @limiter.limit("10/minute") 装饰器,为每个路由单独配置限流策略

from fastapi import Depends, Request

# 示例:用户接口限流
@app.get("/api/v1/users", dependencies=[Depends(limiter.limit("10/minute")))])
def get_users(request: Request):
    return {"message": "获取用户列表", "rate_limit": "10/minute"}

# 示例:单个用户详情接口(更严格)
@app.get("/api/v1/users/{user_id}", dependencies=[Depends(limiter.limit("5/minute")))])
def get_user(user_id: int, request: Request):
    return {"message": f"获取用户 {user_id} 信息", "rate_limit": "5/minute"}

# 示例:文件上传接口(限流更严)
@app.post("/api/v1/upload", dependencies=[Depends(limiter.limit("2/minute")))])
def upload_file(request: Request):
    return {"message": "文件上传成功", "rate_limit": "2/minute"}

🎯 4. 限流策略说明("10/minute"

格式含义
"10/minute"每分钟最多 10 次请求
"100/hour"每小时最多 100 次请求
"1/second"每秒最多 1 次请求
"1000/day"每天最多 1000 次请求

✅ 你可以为不同接口设置不同策略,实现精确到 API 层面的限流

📊 5. 可选:使用 @limiter.limit + 自定义限流键

如果你需要按 用户 IDAPI 路径IP + 用户 ID 等维度限流,可以自定义 key_func。

from slowapi.util import get_remote_address

# 按用户 ID 限流(需从 token 解析用户)
def get_user_id(request: Request):
    # 从 JWT token 中解析 user_id
    token = request.headers.get("Authorization", "").replace("Bearer ", "")
    # 假设你有一个解析函数
    user_id = parse_jwt_token(token).get("user_id")
    return f"user:{user_id}"

@app.get("/api/v1/profile", dependencies=[Depends(limiter.limit("5/minute", key_func=get_user_id)))])
def get_profile(request: Request):
    return {"message": "获取用户资料"}

✅ 总结:FastAPI 精确到 API 层级限流的关键点

能力实现方式
✅ 精确到每个 API 接口使用 @limiter.limit("10/minute") 装饰每个路由
✅ 支持多种限流单位second, minute, hour, day
✅ 支持按用户/IP/路径限流自定义 key_func
✅ 高性能、可扩展使用 Redis 作为后端存储
✅ 异常友好自动返回 429 Too Many Requests

🚀 建议(生产环境)

  • 使用 Redis ClusterRedis Sentinel 保证高可用。
  • 开启 Redis 持久化(RDB/AOF)防止限流数据丢失。
  • 在 Nginx 层也加一层限流(防 DDoS 入口)。
  • 监控限流命中情况(如 Prometheus + Grafana)。
slowapi:Starlette和FastAPI的速率限制器
05-14
慢速Api 从改编的Starlette和FastAPI的速率限制库。 注意:这仍然是Alpha质量代码,API可能会更改,并且在尝试时可能会崩溃。 该文档已 。 快速开始 安装 提供了slowapi ,因此您可以照常安装它: $ pip install slowapi 特征 大多数功能来自(将来自)FlaskLimiter和潜在的。 现在受支持: 端点功能上的单个和多个limit修饰符以应用限制 Redis,Memcached和内存后端可跟踪您的限制(内存作为后备) 支持同步和异步HTTP端点 支持跨一组路线的共享限制 局限性和已知问题 必须将request参数明确传递给您的端点,否则slowapi将无法挂接到该端点。 换句话说,写: @ limiter . limit ( "5/minute" ) async def myendpoint ( request
FastAPI系列教程14:API限流与暴力破解
GeekABC
05-03 1704
本节我们继续讨论FastAPI中的接口限流与暴力破解的护。
FastAPI 接口限流
静觅
04-26 2274
这是「进击的Coder」的第 611篇技术分享作者:somenzz来源:Python 七号“ 阅读本文大概需要 7 分钟。 ”今天分享接口限流。如果没有接口限流,可能会导致服务器负载不平衡,暴力破解密码,恶意请请求,导致服务器额外费用,拒绝服务攻击等。因此做好接口限流很有必要。怎么做接口限流呢?常见的接口限流算法有 4 种:1、固定窗口计数器比如说每小时限制请求 10 ...
FastApi接口限流
Logan
07-25 1020
slowapi fastapi 限流
FastAPI限流:5种高效限流策略保护你的API服务
gitblog_00121的博客
03-30 403
FastAPI作为高性能的Python Web框架,在生产环境中部署时,API限流(Rate Limiting)是确保服务稳定性和安全性的关键技术。限流策略能够止恶意攻击、避免服务器过载,并确保所有用户公平使用资源。本文将详细介绍FastAPI中的5种高效限流实现方案,帮助开发者构建更可靠的API服务。 ## 为什么需要API限流? 在FastAPI应用中实施限流策略至关重要。当API接口
反爬虫策略手把手教你使用FastAPI来限制接口的访问速率
pdcfighting的博客
12-25 4167
击上方“Python爬虫与数据挖掘”,进行关注回复“书籍”即可获赠Python从入门到进阶共10本电子书今日鸡汤秋风吹不尽,总是玉关情。在网络爬虫的过程中,我们都会遇到各种各样的反爬虫...
FastAPI 中的 JWT 认证与访问限流实现
panzhixiang
11-15 2063
通过 FastAPI 实现 JWT 认证,结合访问限流机制,确保应用的安全性和性能。深入探讨从概念到代码实现的每个步骤,帮助开发者构建高效的 API 认证和限流策略。
API接口实战
qq_18529581的博客
02-03 433
推荐做法说明✅ 使用 Redis + Token Bucket 实现限流分布式支持好,性能高✅ 按IP限流为主,可结合User ID更精准控制恶意用户✅ 限流策略可配置化如通过环境变量设置✅ 避免用做复杂逻辑推荐拆成独立中间件类✅ 高危接口 + CAPTCHA如注册、登录、支付等接口
FastAPI限流API密钥别完整指南
gitblog_00689的博客
03-30 1033
在构建高性能API时,API限流是保护服务免受恶意攻击和确保公平资源分配的关键技术。FastAPI作为现代Python Web框架,虽然没有内置的限流功能,但通过其强大的依赖注入系统和中间件机制,我们可以轻松实现API密钥别的限流控制。本文将为您详细介绍如何在FastAPI中实现API密钥别的限流,确保您的API服务稳定可靠。🚀 ## 为什么需要API密钥限流API限流的主要目的
FastAPI限流配置指南:如何保护你的API免受流量冲击
gitblog_00800的博客
03-31 1040
FastAPI限流是保护Web应用免受恶意请求和流量过载的关键技术。作为高性能的Python Web框架,FastAPI提供了灵活的中间件机制来实现流量控制,确保API服务的稳定性和可用性。本文将详细介绍FastAPI限流的实现方法、配置技巧和最佳实践,帮助你快速掌握API保护的核心技能。 ## 为什么需要FastAPI限流限流(Rate Limiting)是API安全护的第一道线。没
滥用终极指南:FastAPI-MCP从零构建企业限流护体系
gitblog_00641的博客
02-05 887
FastAPI-MCP是一种零配置工具,用于自动将FastAPI端点公开为模型上下文协议(MCP)工具。在当今API驱动的应用环境中,接口滥用和恶意请求已成为企业服务稳定性的主要威胁。本文将详细介绍如何利用FastAPI-MCP构建完整的限流护体系,保护API资源免受过度使用和恶意攻击。 ## 为什么需要限流护? 在API服务运营过程中,我们经常面临以下挑战: - 突发流量导致服务器过载
Awesome FastAPI限流策略:SlowApi与Redis实现高效API护指南
gitblog_00265的博客
11-17 1029
FastAPI作为现代高性能Python Web框架,在构建RESTful API时常常面临请求过载的安全挑战。本文将详细介绍如何利用**SlowApi**和**Redis**实现专业的API限流策略,保护你的FastAPI应用免受恶意流量影响。 ## 为什么FastAPI需要限流保护? ⚡ FastAPI以其卓越的性能和开发效率著称,但在生产环境中,无限制的API访问可能导致: - 服务器资
FastAPI速率限制:API滥用的终极限流策略指南
gitblog_00307的博客
03-27 960
FastAPI作为一款高性能、易学习、快速编码且适合生产环境的现代API框架,在构建高并发服务时,有效的速率限制策略至关重要。本文将详细介绍如何在FastAPI应用中实现高效的限流机制,保护API免受滥用和恶意攻击,确保服务稳定性与公平性。 ## 为什么需要API速率限制? 在当今互联网环境中,API服务面临着各种潜在风险,包括: - **恶意攻击**:如DDoS攻击、暴力破解等 - **资
如何在FastAPI中整合GraphQL的复杂度与限流
https://blog.cmdragon.cn/
07-22 2016
title: 如何在FastAPI中整合GraphQL的复杂度与限流?summary:GraphQL 在 FastAPI 中的集成提升了数据获取效率,但复杂查询可能引发性能问题。通过复杂度分析机制,如计算查询深度和字段数量,可有效控制查询复杂度。限流策略基于令牌桶算法,结合中间件实现,止系统过载。整合复杂度与限流系统,在路由别实现双重护,确保 API 稳定性。常见报错如 HTTP 422 可通过检查请求体规范和使用调试模式解决。
高效实用的FastAPI限流库——fastapi-limiter
gitblog_00371的博客
11-17 1113
在构建高性能API服务时,限流是必不可少的一环,它能够保护系统免受恶意请求和过载。fastapi-limiter是一个专为FastAPI设计的轻量限流库,基于Redis和Lua脚本实现高效的令牌桶算法,为开发者提供简单而强大的API访问控制能力。 ## 技术架构与核心特性 fastapi-limiter采用先进的令牌桶算法实现请求速率控制,支持灵活的配置选项和多种使用场景。该库的核心特性包括
FastAPI限流与用户令牌:构建高性能API的终极指南
gitblog_00821的博客
03-29 971
FastAPI作为现代Python Web框架,以其高性能和易用性著称,但在实际应用中,保护API免受滥用和确保系统稳定性同样重要。本文将深入探讨FastAPI限流策略和用户令牌管理,帮助你构建安全可靠的生产API。🚀 ## 为什么需要FastAPI限流保护? 在高并发场景下,API服务器可能面临请求洪峰攻击或意外流量激增。FastAPI虽然天生支持异步处理,但缺乏内置的限流机制,这正是我
FastAPI限流设计全解析(从入门到生产落地)
StepLens的博客
01-02 860
掌握高效保护API的实用方法,本文系统讲解FastAPI限流实现方案,涵盖令牌桶算法、Redis集成与生产环境部署策略。适用于高并发场景下的请求控制,保障服务稳定,值得收藏。
FastAPI限流:基于用户的限流实现完整指南
gitblog_00301的博客
03-28 1025
FastAPI是一个高性能、易于学习、快速编码、生产就绪的Web框架。在实际应用中,基于用户的限流(User-based Rate Limiting)是保护API免受恶意请求和确保公平使用的重要技术。本文将为你详细介绍如何在FastAPI中实现基于用户的限流,确保你的API服务稳定可靠。 ## 为什么需要基于用户的限流?🚀 基于用户的限流是一种智能的流量控制策略,它根据用户身份对API请求进
FastAPI PostgreSQL全栈项目API限流实战止恶意请求攻击的终极指南
gitblog_00597的博客
11-14 1114
在当今的Web应用开发中,API安全是至关重要的环节。full-stack-fastapi-postgresql作为一个基于FastAPI和PostgreSQL的全栈项目框架,提供了强大的后端接口支持。然而,如果没有适当的API限流机制,您的应用很容易受到恶意请求攻击。本文将为您详细介绍如何为这个项目实现完整的API限流保护。 ## 🔒 为什么API限流如此重要? API限流是保护Web应用
IndexTTS-2-LLM API安全加固实战:JWT鉴权与Redis限流
最新发布
weixin_28622215的博客
06-23 295
在构建基于大语言模型的语音合成服务时,API安全是保障服务稳定运行的核心环节。API鉴权与机制构成了现代Web服务安全的基础线,其原理在于通过身份验证和访问控制来管理资源使用。从技术价值看,这不仅保护了昂贵的计算资源(如GPU推理),也确保了服务的公平性和可持续性。在应用场景上,无论是面向用户的语音生成应用,还是机器对机器的集成服务,都需要应对恶意爬虫、资源滥用等挑战。本文以IndexTTS-2-LLM项目为例,深入探讨如何结合JWT、API Key和Redis滑动窗口算法,实现分层安全架构。通过Fa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值