Uno de los aspectos más ignorados al construir una aplicación de nodo.js escalable y escalable es el management de flujo de solicitud. Si no se administra correctamente, puede sobrecargar el servidor y dar como resultado una calidad de servicio degradada para los usuarios e incluso abrir puertas a posibles vulnerabilidades que pueden ser extremadamente peligrosas y tener graves consecuencias. Aquí es donde entran en juego la limitación de la tarifa y el estrangulamiento.
En este artículo, exploraremos cuáles son, por qué importan, sus execs y contras, y cómo implementarlos en aplicaciones de nodo JS.
¿Qué están limitantes y estrangulaciones de la tasa?
La limitación de la tarifa y el estrangulamiento son mecanismos para asignar un número limitado de solicitudes a un cliente o un usuario para un marco de tiempo específico.
- Limitación de tarifas: restringe el número de solicitudes para una ventana de tiempo dada (por ejemplo, 100 solicitudes por minuto por IP).
- Silvento: suaviza el tráfico retrasando las solicitudes en lugar de bloquearlas las solicitudes, lo que resulta en una experiencia de usuario más suave y la prestación de servicios
Piense en la limitación de la tasa como un límite duro y un estrangulamiento como un regulador de tráfico.
Por qué importan
- Prevenir la sobrecarga del servidor
- Proteja contra los picos de tráfico que potencialmente pueden bloquear el servidor.
- Mitigar el abuso y los ataques
- Proporcione una mejor protección contra el abuso y los posibles ataques al proteger las API de los ataques DDoS o los intentos de relleno de credenciales.
- Management de uso justo
- Distribuye recursos entre los usuarios recientemente y todos pueden tener una buena cantidad de recursos.
- Mejor confiabilidad
- Un sistema bien regulado es más predecible y resistente bajo carga.
Professionals y contras
Professionals
- Protección contra los ataques de la fuerza bruta.
- Previene los bloqueos del servidor, lo que resulta en un mayor tiempo de actividad del servidor.
- Resulta en un comportamiento de API predecible, los clientes saben cuánto pueden consumir.
- Management robusto de costos, especialmente para los servicios basados en la nube con precios por solicitud.
Contras
- Los límites estrictos pueden frustrar a los usuarios legítimos.
- Una mayor complejidad de implementación a medida que los sistemas distribuidos requieren contadores sincronizados.
- Puede dar lugar a atascos de tráfico legítimos si no se configuran con cuidado.
- El estrangulamiento puede dar como resultado un ligero retraso en el tiempo de respuesta de solicitud.
Implementación de la limitación de la tasa en Node.js
La forma más fácil es usar Categorical Middleware, como Categorical-Tel-Restrict:
const specific = require('specific');
const rateLimit = require('express-rate-limit');
const app = specific();
const limiter = rateLimit({
windowMs: 1 * 60 * 1000, // 1 minute
max: 100, // restrict every IP to 100 requests per window
message: "Too many requests, please attempt once more later.",
});
app.use(limiter);
app.get('/api/knowledge', (req, res) => {
res.ship('Right here is your knowledge!');
});
app.hear(3000, () => console.log('Server operating on port 3000'));
Notas:
- Windowms establece el marco de tiempo.
- Max establece las solicitudes permitidas.
Implementación de estrangulamiento
El estrangulamiento es ligeramente diferente. Permites solicitudes pero el ritmo para evitar la sobrecarga.
const rateLimit = require('express-rate-limit');
const throttle = rateLimit({
windowMs: 60 * 1000,
max: 100,
delayMs: 500, // add 500ms delay per request over restrict
});
app.use('/api/', throttle);
Las solicitudes por encima del límite se retrasan en lugar de bloquearse, lo que puede suavizar los picos de tráfico.
Mejores prácticas
- Combinar con la autenticación
- Agregue límites por ID de usuario también, en lugar de solo IP, para manejar redes compartidas.
- Use tiendas distribuidas para configuraciones de servidores múltiples
- Redis se usa comúnmente para contadores de limitación de tasa compartida en grupos.
- Personalizar límites por punto ultimate
- La imposición de limitaciones por punto ultimate en lugar de las operaciones globales, especialmente de alto costo, como las exportaciones de datos, necesitarían límites más estrictos.
- Monitorear y ajustar
- Observe sus registros para las solicitudes bloqueadas o retrasadas y los umbrales de ajuste en consecuencia.
Management de llave
- La limitación de la tasa y el estrangulamiento protegen la estabilidad del servidor, la seguridad y la equidad, reducen los bloqueos del servidor y aumentan el tiempo de actividad del servidor.
- La limitación de la tasa controla el número de solicitudes por ventana de tiempo dada, los paseos las marcan en lugar de bloquearlas.
- La implementación adecuada requiere una configuración y monitoreo exhaustivos y reflexivos.
- El uso de herramientas como Categorical-thel-Restrict y Redis puede ser útil para escalar en los sistemas distribuidos.
Pensamientos finales
La limitación y el estrangulamiento de la tarifa no son solo herramientas técnicas, son partes cruciales de un servidor escalable y robusto. Pueden ser extremadamente cruciales cuando se trata de equilibrar el rendimiento, la seguridad y la experiencia del usuario y garantizar que los servicios de su nodo.js no se rinden bajo presión de tráfico extrema.
Si bien el restringido demasiado puede frustrar a los usuarios legítimos, la subestimación puede dejar su sistema weak a los ataques o el tiempo de inactividad. La clave es encontrar el equilibrio correcto:
- Monitoree los patrones de tráfico regularmente.
- Ajuste los límites basados en la sensibilidad del punto ultimate y el comportamiento del usuario.
- Mix la limitación de la velocidad con otras medidas de seguridad como la autenticación, la autorización y el registro.
Con una cuidadosa implementación de las estrategias de limitación de tarifas y estranguladores, sus API no solo serán resistentes a los picos y abusos de tráfico, sino que también prosperarán en la producción, ofreciendo una experiencia rápida, confiable y segura para sus usuarios.
