用Redis配置权限控制，搞定IP访问限制那些事儿

（引用来源：主要基于Redis官方文档关于键（key）和过期时间（expire）的命令,以及常见速率限制实现思路的整合）

直接用Redis来管IP访问限制，这事儿说白了就是找个又快又方便的地方记录“谁”（哪个IP）在“什么时候”来过，然后根据这些记录来判断他是不是来得太频繁了，如果是，就给他点颜色瞧瞧,比如让他等一会儿再来。

你想啊，如果没有Redis，你可能得把这些访问记录往数据库里写，数据库这东西，虽然能存，但读写速度跟Redis这种专门在内存里干活的一比，那就慢多了，权限控制、访问限制这种需要瞬间做出判断的事儿，速度一慢，用户体验就卡壳了，服务器压力也大，Redis的所有操作几乎都在内存里完成，速度极快,正好适合干这个。

那具体怎么用Redis搞定呢？核心思路就是给每个来访的IP地址在Redis里创建一个“计数器”，这个计数器能记录这个IP在特定时间窗口内访问了多少次，时间窗口可以是一分钟、一小时或者一天,看你需要防范什么程度的攻击或者限制什么样的行为。

最直接的一种方法叫“固定窗口计数器”，比方说，我们想限制每个IP每分钟只能访问60次，也就是平均一秒一次，我们可以这样做：当一个新的请求进来时，我们一看，哦，是这个IP地址，我们立马用这个IP地址作为key，去Redis里查一下，比如IP是“192.168.1.1”，那key就可以是类似“rate_limit:192.168.1.1”这样的字符串。

如果Redis里根本没有这个key，说明这个IP在这一分钟里是第一次访问，那我们就在Redis里创建这个key，把它的值设置为1，光设置值还不够，关键一步是给这个key设置一个过期时间，比如60秒，这样，60秒后，这个key会自动被Redis删除，相当于开启了新的一分钟，计数器从零开始，这步设置过期时间非常重要，不然这些key会永远留在Redis里,把内存撑爆。

如果Redis里已经有这个key了，说明这个IP在这一分钟里已经不是第一次来了，那我们就把这个key对应的值拿出来，加1，再存回去，我们会检查一下，加1之后的值有没有超过我们设定的上限，比如60，如果没超过，OK，正常处理请求，如果超过了，比如已经是第61次了，那就对不起了，直接返回“访问过于频繁，请稍后再试”之类的提示。

这个方法实现起来很简单，Redis的几个基本命令就够用了：SETEX（设置值并同时设置过期时间）、INCR（给值增加1）、GET（获取值），但它有个小缺点，就是在时间窗口的临界点可能不够精确，比如在上一分钟的最后1秒来了10次请求，这一分钟刚开始的第1秒又来了10次请求，虽然这两波请求在各自的一分钟窗口内都没超限（都是10次小于60次），但站在两分钟交接的这两秒来看，这个IP在短短2秒内实际访问了20次，这对于一些非常严格的场景来说,可能还是有点问题。

为了解决这个临界点的问题，还有一种更滑溜的方法，叫“滑动窗口”，这个理解起来稍微绕一点，但用Redis实现也不难，它不再是整分钟整分钟地划分时间了，而是看最近的一段时间，我们想限制每分钟60次，那我们就看当前请求时间点往前推60秒这段时间内,这个IP访问了多少次。

怎么记录呢？我们不再只用一个简单的计数器，我们可以用Redis的有序集合这个数据结构，还拿IP当key的一部分，sliding_window:192.168.1.1”，每次这个IP来访问，我们不是简单地给计数器加1，而是生成一个唯一的值（比如用时间戳加随机数），把这个值作为成员（member）加入到这个有序集合里，同时用当前的时间戳（比如Unix时间戳，精确到毫秒）作为这个成员的分值（score）。

我们做一个关键操作：把有序集合里所有分值（也就是时间戳）小于“当前时间戳减去60秒”的成员全部删掉，这些就是60秒以前的访问记录了，我们不关心了，我们查一下这个有序集合现在还有多少个成员，这个数量就是这个IP在过去60秒内的访问次数，判断这个数量是否超过60次，如果没超过，允许访问；如果超过了，就拒绝，记得给这个有序集合的key也设置一个过期时间，比如超过60秒，这样即使没请求来清理旧数据，Redis也会自动清理,防止内存浪费。

滑动窗口这种方式更精准，能更好地应对试图钻时间窗口空子的请求 bursts，它比固定窗口稍微耗一点Redis的资源，因为每次请求都需要进行添加成员、按分值范围删除成员、计算成员数量这些操作，但对于大多数现代Redis服务器来说,这点开销根本不算什么。

除了计数，Redis还能帮你干更多，当你发现某个IP确实恶意攻击，频繁超限，你可以把他的IP直接写进一个Redis的Set（集合）里，这个集合就叫“黑名单”，每次请求来了，先查一下这个IP在不在黑名单集合里，如果在，二话不说直接拒绝掉，把这个黑名单集合的key设置一个很长的过期时间，或者干脆不设置过期时间（需要你手动管理）,就能实现较长时间的封禁。

用Redis做IP访问限制，核心就是利用它超快的内存读写能力和灵活的键值过期机制，无论是简单的固定窗口计数，还是更精细的滑动窗口，Redis都能轻松胜任，它能帮你有效地防止恶意刷接口、爬虫抓取过于频繁、暴力破解密码等行为，给你的系统加一道灵活又高效的安全门卫，实际操作的时候，你可以根据自己对精确度的要求和对性能的考虑，选择合适的方法，然后用几行代码调用Redis的命令串起来,这个门卫就上岗工作了。