防止api请求泛洪/滥用的一些策略是什么

Question

我的服务器(节点)上有一个将新数据写入数据库的API。要使用API，用户需要提供充当标识符的令牌。因此，如果有人淹没了我的数据库或滥用了api，我就能知道是谁。

但是，我可以使用哪些技术来防止服务器被洪水淹没或挂起？请注意，对API的大多数请求都是由服务器本身完成的，因此，从理论上讲，我可能会每秒从我自己的服务器地址收到几十个请求。

我想得到一些阅读材料的参考资料。

谢谢!

Answer 1

您可以使用此模块：https://www.npmjs.com/package/ddos根据用户设置限制。

但是，您仍然会受到更大规模的ddos攻击。这些攻击不能在node.js级别阻止，因为它们通常以基础设施为目标。然而，这是另一个蠕虫罐头。

Answer 2

尝试配置对代理或/和负载平衡器的限制。

或者，您也可以使用rate-limiter-flexible包来限制用户每N秒的请求数量。

还有black-and-white list，因此您可以将服务器的IP列入白名单。