Scaling your API with rate limiters

提供 REST api 给开发者们用是很麻烦的一件事,为了避免某些害群之马DDoS你的api,你得有一套限速的机制,而且能在关键时刻掐掉某些不重要的api的访问。Stripe的这篇博文总结得不错。

文章末尾提供了代码范例。要求不高的话,其实有个快糙猛的方案:用 nginx 的 ngx_http_limit_req_module 模块,几行配置就能简单保护你的线上服务、限制单个IP单位时间内对某路径的请求数;这用来对付小毛贼问题不大,但要真碰上江洋大盗,只能恭喜你中奖了。