Python Web怎么防止API接口被恶意暴力破解_Flask结合Redis实现IP访问频率限制

知识点掌握了，还需要不断练习才能熟练运用。下面golang学习网给大家带来一个文章开发实战，手把手教大家学习《Python Web怎么防止API接口被恶意暴力破解_Flask结合Redis实现IP访问频率限制》，在实现功能的过程中也带大家重新温习相关知识点，温故而知新，回头看看说不定又有不一样的感悟！

Flask-Limiter必须显式指定storage_uri（如redis://），否则默认memory://在多进程下失效；rate字符串格式严格限定为“数字/单位”，单位仅支持/second、/minute等；反向代理需重写key_func提取X-Forwarded-For真实IP。

直接上结论：用 Flask-Limiter + redis:// 存储是最省事且生产可用的方案，但不显式指定 storage_uri 就初始化，90% 情况下会静默失效——请求根本不受限，连错误都不报。

Flask-Limiter 初始化必须显式指定 storage_uri

很多人写完 Limiter(app) 就以为完事了，结果压测时发现限流完全没生效。根本原因是默认 storage 是 memory://，它只在单进程里管用；一旦你用 gunicorn -w 4 或 uwsgi 启动，每个 worker 进程各自维护一份内存计数，等于没限。

• 开发阶段可快速验证：用 storage_uri="redis://localhost:6379"（需提前装好 redis-server 和 redis Python 包）
• 没 Redis？至少显式写成 storage_uri="memory://"，并接受「仅本地调试有效」的事实
• 别信文档里“自动 fallback”的说法——Limiter(app, key_func=get_real_ip) 这种写法不带 storage_uri，大概率白配
• 验证是否真生效：在路由函数里加一行 print(limiter._storage.check("test", 1, 1))，返回 True 才说明后端连上了

@limiter.limit 的 rate 字符串格式极其严格

写错一个字符，Flask-Limiter 就直接抛 ValueError: Invalid rate limit string，而且不会告诉你哪错了。

• 必须是整数 + 斜杠 + 标准单位缩写："5/minute" ✅，"5/m" ❌，"5 per minute" ❌，"5.5/minute" ❌
• 单位只认 /second、/minute、/hour、/day，不支持中文、空格、“每”、“次”等任何非标准写法
• 想表达“10 次 / 2 分钟”？只能写 "10/120seconds"（注意是 seconds，不是 second）
• 多规则叠加用分号："5/minute;100/hour"，表示两个独立窗口都得满足

反向代理下 get_remote_address 拿不到真实 IP

本地跑一切正常，一上 Nginx 或 Cloudflare，所有请求的 IP 都变成 127.0.0.1 或代理服务器内网地址——因为 request.remote_addr 读的是 TCP 连接发起方，不是浏览器真实出口 IP。

• 必须重写 key_func，从 X-Forwarded-For 头提取：request.headers.get("X-Forwarded-For", "").split(",")[0].strip()
• 别直接用 request.headers["X-Forwarded-For"]，没这个头时会 KeyError
• 如果用了 CDN，还要检查是否启用了 X-Real-IP 或 X-Forwarded-For 透传（比如 Nginx 要配 proxy_set_header X-Forwarded-For $remote_addr;）
• 安全起见，别无脑信任 X-Forwarded-For，最好配合 trusted_proxies 配置（Flask-Limiter 0.9+ 支持）

Redis 原生命令实现更细粒度控制（比如滑动窗口）

当 Flask-Limiter 的固定窗口模型不够用——比如要精确限制“过去 60 秒内最多 10 次”，就得绕过它，直接用 Redis 的 LIST + LPUSH + LTRIM 实现滑动窗口。

• key 设计建议用 f"rate:{ip}:{endpoint}"，避免不同接口互相干扰
• 每次请求：先 LPUSH key time.time()，再 LRANGE key 0 -1 取出全部时间戳，过滤掉 time.time() - 60 之前的，再 LTRIM key 0 {len(filtered)-1}
• 注意 time.time() 是浮点数，存进 Redis 得转成 int 或字符串，否则比较时易出错
• 这个逻辑没法交给 Flask-Limiter 自动做，得自己写装饰器或中间件，适合对精度要求高、且愿意多写几行代码的场景

最常被忽略的一点：Redis 连接池没配好，高并发下会卡在连接建立上，看起来像“限流没生效”，其实是 Redis 请求超时或阻塞了。别只盯着限流逻辑，先确认 redis-py 的 connection_pool 参数是否合理（比如 max_connections=20）。

今天关于《Python Web怎么防止API接口被恶意暴力破解_Flask结合Redis实现IP访问频率限制》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！