Flask-Limiter 详细使用说明

关注

发布于: 2021 年 06 月 15 日

本文首发于：行者AI

速率限制通常作为服务的防御措施予以实施。服务需要保护自身以免过度使用（无论是有意还是无意），从而保持服务可用性。在 Flask 项目开发过程中，遇到了需要对接口进行限制的需求，又不想去造轮子，这时候就需要用到 Flask-Limiter 这个三方库。本文将对 Flask-Limiter 的使用进行详细说明。

1. 安装

安装依赖环境。

pip install Flask==1.1.1 Flask-Limiter==1.4

复制代码

2. 快速开始

有两种方式表示速率限制：

"100 per day"、"20 per hour"、"5 per minute"、"1 per second"
"100/day"、"20/hour"、"5/minute"、"1/second"

速率限制可以设置全局配置，针对所有接口进行限制；也可以通过装饰器进行局部限制；对于不想限制的接口，可以通过装饰器@limiter.exempt进行解除限制。示例代码如下所示：

app = Flask(__name__)
# 该配置为全局配置、适用于所有接口limiter = Limiter(app, key_func=get_remote_address, default_limits=["100 per day", "10/hour"])
# @limiter.limit: 将覆盖全局limiter配置@app.route("/slow")@limiter.limit("1 per day")def slow():    return ":("
# override_defaults: 表示该limiter是否覆盖全局limiter限制，默认为True@app.route("/medium")@limiter.limit("1/second", override_defaults=False)def medium():    return ":|"
# 完整继承全局limiter配置@app.route("/fast")def fast():    return ":)"
# @limiter.exempt: 被装饰的视图不受全局速率限制@app.route("/ping")@limiter.exemptdef ping():    return "PONG"

复制代码

3. 装饰器

根据个人喜好和使用场景，有以下几种方式：单一修饰：限制字符串可以是单个限制，也可以是定界符分隔的字符串。

@app.route("....")@limiter.limit("100/day;10/hour;1/minute")def my_route()  ...

复制代码

多个装饰器：限制字符串可以是单个限制，也可以是定界符分隔的字符串，也可以是两者的组合。

@app.route("....")@limiter.limit("100/day")@limiter.limit("10/hour")@limiter.limit("1/minute")def my_route():  ...

复制代码

自定义功能：默认情况下，根据 Limiter 实例初始化时所使用的关键功能来应用速率限制。开发者可以实现自己的功能。

def my_key_func():  ...
@app.route("...")@limiter.limit("100/day", my_key_func)def my_route():  ...

复制代码

动态加载限制的字符串：在某些情况下，需要从代码外部的源（数据库，远程 api 等）中检索速率限制。这可以通过向装饰器提供可调用对象来实现。

注意：所装饰的路由上每个请求都会调用提供的可调用对象，对于昂贵的检索，请考虑缓存响应。

def rate_limit_from_config():    return current_app.config.get("CUSTOM_LIMIT", "10/s")
@app.route("...")@limiter.limit(rate_limit_from_config)def my_route():    ...

复制代码

4. 限制域

指根据什么进行限制，对应的参数为key_func，flask_limiter.util提供了两种方式：

flask_limiter.util.get_ipaddr()：使用X-Forwarded-For标头中的最后一个 IP 地址，否则回退到请求的remote_address。
flask_limiter.util.get_remote_address()：使用请求的remote_address。

注意：在真实开发中，大部分项目都配置了 Nginx，如果直接使用 get_remote_address，获取到的是 Nginx 服务器的地址，相当于来自该 Nginx 服务器的所有请求会被当做同一个 IP 访问，所以项目中一般都是自定义 key_func！

def limit_key_func():    return str(flask_request.headers.get("X-Forwarded-For", '127.0.0.1'))

复制代码

获取 IP 的依据是根据 Nginx 的配置决定的：

X-Forwarded-For # 一般是每一个非透明代理转发请求时会将上游服务器的ip地址追加到X-Forwarded-For的后面，使用英文逗号分割；X-Real-IP # 一般是最后一级代理将上游ip地址添加到该头中；X-Forwarded-For # 是多个ip地址，而X-Real-IP是一个；# 如果只有一层代理，这两个头的值就是一样的。

复制代码

5. 共享限制

适用于速率限制由多条路由共享的情况。

命名共享限制：通过相同的 shared_limit 对象进行装饰。

mysql_limit = limiter.shared_limit("100/hour", scope="mysql")
@app.route("..")@mysql_limitdef r1():   ...
@app.route("..")@mysql_limitdef r2():   ...

复制代码

动态共享限制：将可调用对象作为范围传递，该函数的返回值将用作范围。注意，callable 具有一个参数：表示请求端点的字符串。

def host_scope(endpoint_name):    return request.hosthost_limit = limiter.shared_limit("100/hour", scope=host_scope)
@app.route("..")@host_limitdef r1():   ...
@app.route("..")@host_limitdef r2():   ...

复制代码

6. 储存后端

记录 IP 访问次数，用于判断该 IP 访问次数是否达到限制。Limiter 默认使用内存作为储存后端，但是在实际开发中，可能会涉及到多进程资源不共享、服务器内存消耗等问题，一般是使用 redis 作为储存后端。

需要 redis 服务器的位置，以及可选的数据库号。 redis://localhost:6379或redis://localhost:6379/n（对于数据库 n）。
如果 redis 服务器正在通过 unix 域套接字监听，则可以使用redis+unix:///path/to/sock 或redis+unix:///path/to/socket?db=n（对于数据库 n）。
如果数据库受密码保护，则可以在 URL 中提供密码，例如， redis://:foobared@localhost:6379或者redis+unix//:foobered/path/to/socket。

# LIMITS_REDIS_STORAGE就是上文提到的redis的URIlimiter = Limiter(default_limits=["100 per day"], key_func=limit_key_func, storage_uri=LIMITS_REDIS_STORAGE)

复制代码

7. 总结

通过对 API 请求的限制和配额，在一定程度上能避免系统收到超出其处理能力的数据，确保系统的资源能得到合理的使用。以上就是本文的全部内容，希望能给大家学习带来帮助。

发布于: 2021 年 06 月 15 日阅读数: 10

原文链接:【http://xie.infoq.cn/article/b68113c1a402a135be298692e】。

行者AI

关注

行者AI，为游戏插上人工智能的翅膀。 2020.12.18 加入

行者AI（成都潜在人工智能科技有限公司）专注于人工智能在游戏领域的研究和应用，凭借自研算法，推出游戏AI、智能内容审核、数据平台等产品服务。

发布

暂无评论

创作场景

Flask-Limiter 详细使用说明

1. 安装

2. 快速开始

3. 装饰器

4. 限制域

5. 共享限制

6. 储存后端

7. 总结

行者AI

评论