Golang限流首选rate.Limiter令牌桶实现,支持HTTP中间件统一管控、多维度差异化配置及Redis分布式协同,需配合监控告警确保有效性。
用 Golang 实现请求限流,核心是控制单位时间内处理的请求数量,防止后端被突发流量打垮。最常用、最实用的方式是令牌桶(Token Bucket)和漏桶(Leaky Bucket),Golang 标准库 golang.org/x/time/rate 提供了基于令牌桶的高效实现,开箱即用、线程安全、内存占用低。
rate.Limiter 是 Go 官方维护的轻量级限流器,适合 HTTP 中间件、RPC 服务入口、数据库连接池前置等场景
。
limiter := rate.NewLimiter(rate.Limit(100), 5) 表示每秒最多允许 100 个请求,初始可突发 5 个(burst 值)if !limiter.Allow() { http.Error(w, "Too Many Requests", http.StatusTooManyRequests); return }
WaitN(ctx, n) 阻塞等待(适合后台任务),或 ReserveN() 判断是否能预留 N 个令牌(适合批量操作)把限流逻辑抽成中间件,避免每个 handler 重复写判断,也便于按路径、用户、IP 等维度差异化配置。
/api/pay 用严格限流(10 QPS),/api/status 用宽松限流(1000 QPS)http.Request.RemoteAddr 或解析 JWT 获取用户 ID,实现“单用户每秒最多 5 次”——用 sync.Map 或 Redis 缓存每个 key 对应的 limiter 实例(注意定期清理过期 key)w.Header().Set("X-RateLimit-Limit", "100")、"X-RateLimit-Remaining"、"Retry-After"
单机 rate.Limiter 无法跨进程同步,高可用服务通常部署多个副本,此时需外部协调。
github.com/bsm/redislock 或直接调用 redis.Client.Eval()
限流不是设完就完事,必须知道它什么时候起作用、是否误伤正常流量、瓶颈在哪。
http_requests_limited_total{route="/api/user", reason="burst"}