Angular安全专辑之四 —— 避免服务端可能的资源耗尽(NodeJS)

express-rate-limit是一个简单实用的npm包,用于在Express应用程序中实现速率限制。它可以帮助防止DDoS攻击和暴力破解,同时还允许对API端点进行流控。

express-rate-limit 及其主要功能

express-rate-limit是Express框架的一个流行中间件,它允许根据IP地址或其他标准轻松地对请求进行速率限制。主要功能包括:

  1. 基于IP地址实现速率限制
  2. 设置最大请求数和时间窗口
  3. 提供可定制的响应如429 Too Many Requests
  4. 支持白名单IP地址
  5. 方便地集成到Express应用中

express-rate-limit 的使用

以下代码是express-rate-limit的常见用法,包括基础限制、路由限制、动态限制、自定义key等

TypeScript 复制代码
// 基础用法
const rateLimit = require("express-rate-limit");

const limiter = rateLimit({
  windowMs: 1*60*1000, // 1 minute
  max: 5 
});

// 应用到所有路由
app.use(limiter);
// 指定路由应用限制
app.get("/api", limiter, (req, res) => {
  res.json({foo: "bar"}); 
});

// 设置多个限制器
const loginLimiter = rateLimit({
  windowMs: 15*60*1000, // 15 minutes 
  max: 3, 
  message: "Too many login attempts, please try again later"
});

app.post("/login", loginLimiter, (req, res) => {
  // login logic  
});

// 基于请求者IP的动态限制
const limiter = rateLimit({
  windowMs: 15*60*1000, 
  max: function(req) {
    return req.user.vip ? 500 : 100; 
  },
  handler: function(req, res/*next*/) {
    res.status(429).send("Too Many Requests");    
  }  
});

// 自定义key获取方式
const limiter = rateLimit({
  windowMs: 15*60*1000,
  max: 100,
  keyGenerator: function(req/*, res*/) {
    return req.user.id;
  }  
});

总结 :

express-rate-limit 是一个轻量实用的速率限制中间件,可以有效帮助Node.js应用防止滥用。对API请求频率进行限制的场景,如防止爬虫过度爬取、防止暴力破解密码、避免频繁调用支付接口等。非常适合对Express应用的流量进行管控。

相关推荐
KenkoTech12 天前
Angular进阶之十二:Chrome DevTools+Angular实战诊断指南
angular
crary,记忆14 天前
微前端MFE:(React 与 Angular)框架之间的通信方式
前端·javascript·学习·react.js·angular
crary,记忆20 天前
MFE微前端高级版:Angular + Module Federation + webpack + 路由(Route way)完整示例
前端·webpack·angular·angular.js
crary,记忆21 天前
MFE微前端基础版:Angular + Module Federation + webpack + 路由(Route way)完整示例
前端·学习·webpack·angular
crary,记忆25 天前
Module Federation 和 Native Federation 的比较
前端·webpack·angular
crary,记忆1 个月前
Angular微前端架构:Module Federation + ngx-build-plus (Webpack)
前端·webpack·angular·angular.js
crary,记忆1 个月前
Angular中Webpack与ngx-build-plus 浅学
前端·webpack·angular·angular.js
crary,记忆1 个月前
微前端 - Module Federation使用完整示例
前端·react·angular
crary,记忆1 个月前
Angular报错:cann‘t bind to ngClass since it is‘t a known property of div
前端·javascript·angular·angular.js
Zhen (Evan) Wang1 个月前
ABP-Book Store Application中文讲解 - Part 5: Authorization
c#·.net·angular