Redis滑动窗口限流最实用:用Lua脚本原子执行INCR+EXPIRE,按用户ID/设备指纹区分限流,Nginx层用limit_req兜底,避免PHP层过载。
用 Redis 实现滑动窗口限流最实用
PHP 自身没有内置限流机制,靠 sleep() 或文件锁既不准又难扩展。生产环境普遍用 Redis 做计数和过期控制,滑动窗口比固定窗口更平滑——比如限制「每分钟最多 60 次」,不是粗暴地整点重置,而是看最近 60 秒内实际请求数。
关键点在于:用 INCR + EXPIRE 组合,但要注意并发下 EXPIRE 可能失效(键刚被 INCR 创建就过期),所以得用 Lua 脚本原子执行:
local key = KEYS[1] local limit = tonumber(ARGV[1]) local window = tonumber(ARGV[2]) local current = redis.call("INCR", key) if current == 1 then redis.call("EXPIRE", key, window) end if current > limit then return 0 end return current
PHP 调用时传入 $redis->eval($script, [$key, $limit, $window]),返回值为当前计数或 0(超限)。
$_SERVER['REMOTE_ADDR'] 不足以标识用户
直接按 IP 限流在 NAT、CDN、移动端场景下会误伤——同一出口 IP 可能对应成百上千用户。真实项目中要分层处理:
- 优先从请求头取
X-Forwarded-For或X-Real-IP(但需校验可信代理链,否则可伪造) - 登录态用户用
user_id(从 session 或 JWT 解析),未登录用户可用设备指纹(如User-Agent + IP + JS 生成的 client_id) - 接口级限流建议加业务维度,比如
"login:{$ip}"和"search:{$user_id}"分开计数
fastcgi\_buffers 和 limit\_req 是 Nginx 层兜底方案
PHP 层限流是业务逻辑,但高并发下请求还没进 PHP 就该被拦住。Nginx 的 limit_req 模块更轻量:
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
location /api/ {
limit_req zone=api burst=20 nodelay;
fastcgi_pass php-fpm;
}
}
注意:burst 允许突发,nodelay 表示不延迟响应(直接 503),否则会排队。同时调大 fastcgi_buffers 防止因缓冲区小导致限流响应被截断。
漏桶 vs 令牌桶:PHP 里别自己手写算法
网上很多「用 file_put_contents() 记录时间戳+排序」的漏桶实现,性能差且无法分布式。真正需要令牌桶语义(比如允许短时突发、平滑放行)时,应直接用 Redis 的 CL.THROTTLE(Redis 6.2+)或封装好的库如 php-rate-limiter。自己实现容易在重置逻辑、精度(毫秒级窗口)、并发计数上出错。
复杂点在于:限流规则本身要可配置化(数据库 or Redis Hash 存储不同接口的 rate/burst),而不是硬编码在代码里;另外务必记录被限流的请求日志(含 IP、URI、时间戳),否则问题来了没法排查。
