Express-Rate-Limit在多节点环境下的限流问题解析

问题现象

在使用express-rate-limit中间件时，开发者遇到了一个奇怪的现象：当设置请求限制为1次时，实际可以处理2次请求后才会触发限流；设置限制为2次时，可以处理3次请求。这种"多一次"的异常行为只出现在生产环境，本地开发环境则表现正常。

环境配置分析

生产环境使用了以下技术栈：

• Node.js v16.17.1
• express-rate-limit 7.3.1
• Nginx作为反向代理
• 多节点部署架构

限流配置如下：

const limiter = rateLimit({
  windowMs: 0.5 * 60 * 1000, // 30秒窗口
  limit: 1, // 限制每个IP每窗口1次请求
  standardHeaders: "draft-7",
  legacyHeaders: false,
  message: {
    success: false,
    message: "Too many requests, please try again!",
  },
  keyGenerator: (req, res) => {
    if (!req.ip) {
      console.error('Warning: request.ip is missing!')
      return req.socket.remoteAddress
    }
    return req.ip.replace(/:\d+[^:]*$/, '')
  }
})

问题根源

经过分析，问题的根本原因在于生产环境使用了多节点部署。express-rate-limit默认使用内存存储来跟踪请求计数，这在单节点环境下工作正常。但在多节点环境中，每个节点都有自己的内存存储，无法共享请求计数信息。

例如：

• 用户请求到达节点A，计数为1
• 下一个请求可能到达节点B，由于节点B没有之前的计数记录，会认为是新请求
• 这样就导致了限流失效，实际允许的请求次数比配置的多

解决方案

对于多节点部署环境，必须使用共享存储来维护请求计数。express-rate-limit支持通过store选项配置不同的存储后端：

1. Redis存储方案（推荐）：

const RedisStore = require('rate-limit-redis');
const limiter = rateLimit({
  store: new RedisStore({
    // Redis配置
  }),
  // 其他配置
});

2. 其他数据库存储： 也可以使用MongoDB、Memcached等数据库作为存储后端，需要相应的适配器。

3. 单节点部署： 如果不方便修改代码，可以考虑改为单节点部署，但这会牺牲可扩展性。

最佳实践

1. 生产环境部署时，特别是使用负载均衡的场景，务必配置共享存储
2. 确保Nginx或负载均衡器的IP透传配置正确
3. 测试环境应尽量模拟生产环境架构，包括节点数量
4. 监控限流效果，确保符合预期

总结

express-rate-limit作为一款优秀的限流中间件，在单节点环境下表现良好。但在现代分布式系统中，开发者必须考虑多节点部署带来的状态共享问题。通过配置适当的存储后端，可以确保限流策略在整个集群中一致生效，保障系统的稳定性和安全性。