为什么要做API限流？

Rate Limiting Explained：如何让系统既公平又高速

一、为什么限流是系统的“护心毛衣”？

互联网系统的成长史里有个经典段子：“真正的宕机，往往来自一个循环多跑了一次。”
这不是玩笑。

在大型系统里，最怕的不是敌军百万，而是自己人突然集体重试。

想象你在一个只有 3 个窗口的小邮局。正常情况下大家排队领快递都很和谐，直到来了一个“高频取件狂魔”疯狂换号插队，让整个大厅挤爆。
你的 API 就是这个邮局，高频狂魔就是没有限制的客户端。

如果没有限流，系统将可能出现：

• 连接池被塞满 → 正常用户连不上
• 队列爆满 → 消息丢失、延迟飙升
• 数据库超时 → 整个 API 看起来“变慢”
• 重试风暴 → “慢”瞬间变成“访问不了”

这时候，你再怎么扩容都没用，因为问题不是流量大，而是流量失控。

限流的意义不在于“快”，而在于“稳”。

正如古代修长城，不是为了提升交通，而是为了控制边界。

二、限流解决的本质问题：公平和稳定

限流的目标只有两个字：公平。

• 一个 VIP 不能拖垮所有普通用户
• 一个调试脚本不能冲垮生产环境
• 一个爬虫不能把 API 当自助餐

分布式系统中所有资源都是共享的：带宽、线程池、数据库连接、缓存、消息队列……
只要一个点被打满，就会连锁反应。

因此，限流不是给开发者添麻烦，它是系统的“交警”：“你先停一停，大家才能都走得快。”

三、限流怎么做？

限流 =策略 + 执行器

• 策略（Policy）：规定多久能访问几次
  例如：每用户每分钟 100 次
• 执行器（Enforcer）：决定超过后怎么办
  例如：返回 429、延迟、排队等

一般放在三个位置：

1. API Gateway（推荐）
   如 NGINX、Kong、Envoy。
2. 服务网关 / 微服务边缘
   确保不同客户端不会抢资源。
3. 独立限流服务
   用 Redis/Memcached 做全局限流。

四、最常见的限流算法

1）Token Bucket（令牌桶）

你有一个自动补充令牌的小桶，每次请求消耗一个。
优点：允许小范围爆发（像冲厕一样）。

适合：
👉 电商抢购、短时间高峰的 API

2）Leaky Bucket（漏桶）

同样是桶，但出口以固定速度“滴滴滴”地漏水。
优点：强制系统匀速，绝不让你突然冲击下游。

适合：
👉 需要严格保护下游的服务（支付、转账、订单处理）

3）Fixed Window（固定窗口）

“每分钟最多 100 次”，到点归零。
缺点：整点前后流量可能堆积（被称为“窗口边界效应”）。

适合：
👉 简单粗暴的后台管理接口

4）Sliding Window（滑动窗口）

统计最近 60 秒的访问量，而不是按整点重置。
优点：更公平、波动更低。

适合：
👉 对精度有要求、用户量大的 API 服务

五、限流还需要告诉客户端点什么？

一些标准的 HTTP Header 可以让客户端“自我调节”：

• X-RateLimit-Limit：总额度
• X-RateLimit-Remaining：还剩多少
• X-RateLimit-Reset：多久恢复
• Retry-After：建议何时重试

“别瞎重试，大家都好过。”

六、真实世界的限流应用场景

✔ 电商系统

高峰期抢购、打折秒杀，保证系统不崩。

✔ 第三方 API（你常用的 OpenAI/AWS/Twitter 都这么做）

避免一个开发者无限调试，影响其他用户。

✔ 消息队列/任务系统

避免一个任务把全部 worker 资源吃光。

✔ 后台管理接口

限制管理员误操作，或防止脚本泄漏后的暴力调用。

✔ 反爬虫

爬虫不怕，但要让它们变“文明”。

七、最佳实践（从新手到进阶）

1.限流不是越严越好，而是要“贴着业务跑”

观察业务的真实流量：峰值、谷值、每分钟多少次等。

2.选对算法比代码更重要

• Token Bucket：允许突发
• Leaky Bucket：稳如老狗
• Sliding Window：公平精准

3.限流要分层

• 每用户
• 每 IP
• 每接口
• 每 API key

避免“一人拖全家”。

4.强烈建议使用成熟组件

NGINX、Kong、Envoy、Redis + Lua

自己写限流相当于自己造发动机，风险巨大。

5.429 要写得“体面”

返回 429 + Retry-After，让客户端知道什么时候再来。

6.记录日志，找出“违规王”

限流日志是运维和调优的金矿。

7.永远不要忘记“退避重试”

防止重试风暴（加抖动 jitter 更安全）。

八、限流的代价与取舍

• 窗口越小，精度越高，但开销越大
• 算法越精准，性能成本越高
• 限流越严格，用户体验越差

这是经典的工程平衡，就像三国里诸葛亮的“木牛流马”——稳定，但不一定快。

没有完美的限流，只有为业务量身定制的限流。

九、总结：限流不是技术，是秩序

限流不是约束，而是保护。

没有限流的系统，就像没有红绿灯的大城市：看似大家都能跑，其实距离“全体拥堵”只有一步之遥。

真正稳定的系统，不是因为允许多少，而是因为禁止了多少。

限流让你的系统从“能跑”变成“能长期跑、稳定跑、在压力下依然优雅地跑”。