Hyperf方案 API限流熔断

<?php/** * 案例055：API限流熔断 * 说明：基于Redis计数器实现接口限流，超出限制返回429，防止接口被刷 * 需要安装的包：hyperf/redis */declare(strict_types=1);namespaceApp\Middleware;useHyperf\Redis\Redis;usePsr\Http\Message\ResponseInterface;usePsr\Http\Message\ServerRequestInterface;usePsr\Http\Server\MiddlewareInterface;usePsr\Http\Server\RequestHandlerInterface;/** * 接口限流中间件 * 支持多维度限流：IP、用户、接口 * 算法：固定窗口计数器（简单但有临界问题） * 生产可以升级为滑动窗口（用Redis ZSET实现） */classRateLimitMiddlewareimplementsMiddlewareInterface{// 不同接口的限流规则，格式：路径前缀 => [次数, 时间窗口(秒)]privatearray$rules=['/api/v1/auth/login'=>[5,60],// 登录：1分钟最多5次，防暴力破解'/api/v1/auth/sms'=>[1,60],// 发短信：1分钟只能发1条'/api/v1/orders'=>[30,60],// 下单：1分钟30次'default'=>[200,60],// 其他接口默认：1分钟200次];publicfunction__construct(privateRedis$redis){}publicfunctionprocess(ServerRequestInterface$request,RequestHandlerInterface$handler):ResponseInterface{$path=$request->getUri()->getPath();$ip=$this->getClientIp($request);$userId=\Hyperf\Context\Context::get('user_id',0);// 查找匹配的限流规则[$maxRequests,$windowSeconds]=$this->findRule($path);// 按IP限流（未登录用IP，登录后用用户ID，防共享IP影响）$limitKey=$userId>0?"rate_limit:user:{$userId}:{$path}":"rate_limit:ip:{$ip}:{$path}";$result=$this->checkAndIncrement($limitKey,$maxRequests,$windowSeconds);if(!$result['allowed']){return$this->tooManyRequests($result['reset_at'],$maxRequests);}// 在响应头里告知客户端剩余次数，方便前端显示$response=$handler->handle($request);return$response->withHeader('X-RateLimit-Limit',(string)$maxRequests)->withHeader('X-RateLimit-Remaining',(string)$result['remaining'])->withHeader('X-RateLimit-Reset',(string)$result['reset_at']);}/** * 检查并递增计数（原子操作，用Lua脚本保证原子性） */privatefunctioncheckAndIncrement(string$key,int$max,int$window):array{// Lua脚本：原子地检查+递增，避免并发时的竞态条件$lua=<<<'LUA'local key=KEYS[1]local max=tonumber(ARGV[1])local window=tonumber(ARGV[2])local current=redis.call('GET',key)ifcurrent==falsethen--第一次请求，设置计数为1并设置过期时间 redis.call('SET',key,1,'EX',window)return{1,max-1,1}--{current,remaining,allowed}end current=tonumber(current)ifcurrent>=max then--超出限制 local ttl=redis.call('TTL',key)return{current,0,0}end--递增 redis.call('INCR',key)return{current+1,max-current-1,1}LUA;$result=$this->redis->eval($lua,[$key,$max,$window],1);$remaining=$result[1]??0;$allowed=(bool)($result[2]??0);$resetAt=time()+($allowed?$this->redis->ttl($key):0);returncompact('allowed','remaining','resetAt');}privatefunctionfindRule(string$path):array{foreach($this->rulesas$prefix=>$rule){if($prefix!=='default'&&str_starts_with($path,$prefix)){return$rule;}}return$this->rules['default'];}privatefunctiongetClientIp(ServerRequestInterface$request):string{// 有代理时从X-Forwarded-For取真实IP$forwarded=$request->getHeaderLine('X-Forwarded-For');if($forwarded){returntrim(explode(',',$forwarded)[0]);// 取第一个IP（最原始的）}$serverParams=$request->getServerParams();return$serverParams['remote_addr']??'0.0.0.0';}privatefunctiontooManyRequests(int$resetAt,int$max):ResponseInterface{$response=\Hyperf\Utils\ApplicationContext::getContainer()->get(\Hyperf\HttpServer\Contract\ResponseInterface::class);return$response->json(['code'=>429,'message'=>'请求太频繁，请稍后再试','reset_at'=>$resetAt,])->withStatus(429)->withHeader('Retry-After',(string)($resetAt-time()));}}/** * 滑动窗口限流（更精确，无临界问题，用ZSet实现） */classSlidingWindowRateLimiter{publicfunction__construct(privateRedis$redis){}/** * 检查是否超出限制（滑动窗口版本） * 用ZSet存每次请求的时间戳，定期清理窗口之外的记录 */publicfunctionisAllowed(string$key,int$max,int$windowSeconds):bool{$now=microtime(true)*1000;// 毫秒时间戳$start=$now-$windowSeconds*1000;// 窗口起始时间// 用pipeline批量执行，减少网络往返$this->redis->multi();$this->redis->zRemRangeByScore($key,'-inf',$start);// 删掉窗口外的记录$this->redis->zCard($key);// 数当前窗口内的请求数$this->redis->zAdd($key,$now,uniqid('',true));// 添加本次请求$this->redis->expire($key,$windowSeconds+1);// 设置key过期时间$results=$this->redis->exec();$count=$results[1];// zCard的结果if($count>=$max){// 超出了，把刚加进去的删掉（回滚）$this->redis->zRemRangeByScore($key,$now,$now);returnfalse;}returntrue;}}