用 golang.org/x/time/rate 实现 IP 限流需为每个 IP 绑定独立 rate.Limiter(如存于 sync.Map),合理设置 Every 和 burst,定期清理闲置 IP;HTTP 中间件须按可信代理网段解析真实客户端 IP,避免伪造;高并发时可哈希分片 sync.Map 或改用 Redis。用 golang.org/x/time/rate 做 IP 级限流最直接标准库没有内置 IP 限流,但 rate.Limiter 是唯一靠谱的底层组件------它轻量、无锁、精度可控,且不依赖外部存储。别碰 time.Sleep 手搓计数器,也别一上来就上 Redis,90% 的场景用它就够了。关键不是"能不能做",而是"怎么把 IP 和 Limiter 绑定住"。常见错误是全局只用一个 Limiter,结果所有 IP 共享额度;或者为每个新 IP 频繁新建 Limiter 却不回收,导致内存缓慢上涨。每个 IP 对应一个独立的 rate.Limiter 实例(比如存在 sync.Map 中)用 rate.Every(1 * time.Second) 表示"每秒最多 N 次",比 rate.Limit(N) 更直观设置合理的 burst(比如 5),避免网络抖动导致正常请求被误拒定期清理长时间未访问的 IP 条目(例如 30 分钟无请求就 delete),否则 sync.Map 会持续膨胀HTTP 中间件里怎么安全提取真实客户端 IP直接读 r.RemoteAddr 只能得到代理或负载均衡器的地址,不是真实用户 IP。必须按顺序检查 X-Forwarded-For、X-Real-IP 等 header,但不能全信------这些字段可被伪造。真正能信任的只有你自己的反向代理(如 Nginx)加的 header,而且必须配置 set_real_ip_from + real_ip_header。Golang 层要做的是:只从可信 hop 列表里取最后一个非内网地址。立即学习"go语言免费学习笔记(深入)";硬编码可信代理网段(如 "10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16"),其他来源的 X-Forwarded-For 一律忽略用 net.ParseIP + net.Contains 判断是否为内网地址,别用字符串匹配如果所有 header 都不可信,fallback 到 r.RemoteAddr 的 IP 部分(用 strings.Split(r.RemoteAddr, ":")0)注意 IPv6 地址格式,r.RemoteAddr 可能带方括号,需先 net.ParseIP 再格式化输出并发高时 sync.Map 性能不够怎么办sync.Map 在读多写少时表现好,但每秒几千次写入(比如大量新 IP 首次访问)会导致 LoadOrStore 明显延迟。这不是 bug,是设计取舍:它不保证遍历一致性,也不支持原子删除。 Tellers AI Tellers是一款自动视频编辑工具,可以将文本、文章或故事转换为视频。
相关推荐
兵慌码乱11 小时前
基于 MediaPipe 与 PySide2 的手势交互音乐控制系统实现:轻量化视觉交互全流程解析luckdewei14 小时前
FastAPI 资产管理系统实战:复杂 ORM 关联、Alembic 迁移与 N+1 查询优化aqi0020 小时前
15天学会AI应用开发(八)使用向量数据库实现RAG功能Csvn21 小时前
`functools.lru_cache` —— 一行代码搞定缓存加速金銀銅鐵2 天前
[Python] 从《千字文》中随机挑选汉字cup112 天前
[技术复盘] Windows Python 打包实战:Nuitka 环境踩坑总结与 CI 自动化构建全指南aqi002 天前
15天学会AI应用开发(七)有了大模型为什么还要引入RAG金銀銅鐵2 天前
用 Python 实现 Take-Away 游戏