php接口限流必须用incr+expire配对或redis原子脚本,否则key永久存在致内存溢出;令牌桶需自行计算补令牌与阈值判断,phpredis比predis更稳定高效。
Redis + PHP 实现令牌桶限流,INCR 和 EXPIRE 必须配对用
直接说结论:PHP 接口限流不能只靠 INCR,漏掉 EXPIRE 会导致 key 永久存在,内存爆满。令牌桶逻辑得自己算窗口、补令牌、判阈值,不是简单计数。
典型错误是写成这样:
$key = 'rate:api:'.$ip; $cnt = $redis->incr($key); if ($cnt > 100) { throw new Exception('Too many requests'); }问题在于:$key 没过期时间,一旦被刷一次就永远卡死;而且没考虑“单位时间”——100 次是每秒?每分钟?
- 必须在
INCR后立刻调用EXPIRE($key, 60)(比如 60 秒窗口) - 如果
INCR返回 1,说明是新 key,此时要EXPIRE;如果已存在,EXPIRE会返回 0,但无害 - 更稳妥的做法是用
EVAL脚本把INCR、EXPIRE、阈值判断包进原子操作,避免竞态
用 eval 脚本做原子限流,绕过 PHP 单线程假象
PHP-FPM 是多进程的,INCR + IF 在两个请求间有间隙,可能同时通过阈值。Redis 脚本才是真原子。
立即学习“PHP免费学习笔记(深入)”;
这个脚本实现「滑动窗口内最多 100 次」:
local key = KEYS[1] local limit = tonumber(ARGV[1]) local window = tonumber(ARGV[2]) local current = tonumber(redis.call('INCR', key)) if current == 1 then redis.call('EXPIRE', key, window) end if current > limit then return 0 end return 1PHP 调用时传参要对齐:
-
KEYS[1]是'rate:login:'.$ip -
ARGV[1]是最大请求数,比如100 -
ARGV[2]是窗口秒数,比如60 - 返回
0表示被限,1表示放行
别硬套漏桶,PHP 场景下令牌桶更实用
漏桶输出恒定,适合削峰填谷;但接口限流真正要防的是突发扫描、暴力撞库,需要「允许短时爆发 + 自动恢复」,令牌桶更贴切。
实现要点:
- 每个 key 存两个值:
rate:api:192.168.1.1:tokens(剩余令牌)、rate:api:192.168.1.1:ts(上次更新时间) - 每次请求先读
tokens和ts,按时间差补令牌:min(max_tokens, tokens + (now - ts) * rate) - 补完再扣 1,存回 Redis;若
tokens 就拒绝 - 注意用
GETSET或EVAL保证读-算-写不被并发打断
phpredis 扩展比 Predis 更稳,尤其高并发下
本地开发用 Predis 没问题,但上线后频繁出现「连接超时」「返回空」,大概率是 Predis 的纯 PHP 实现扛不住长连接或管道批量操作。
实测对比:
-
phpredis是 C 扩展,INCR耗时稳定在 0.1–0.3ms;Predis在 QPS > 500 时延迟跳到 2ms+,且偶发Connection refused -
phpredis支持pipeline和multi原生命令,脚本执行也更可靠 - 装
phpredis要确认 PHP 版本兼容性,比如 PHP 8.2 需要 phpredis ≥ 5.3.7
限流这种基础能力,宁可多编译一个扩展,也不在关键路径上赌纯 PHP 的稳定性。