PHP 8.4 本身不内置限流功能,需借助 Redis(令牌桶)或 Swoole(漏桶)实现;文件锁因I/O瓶颈、无跨机共享、秒级精度等缺陷不适用高并发场景。
PHP 8.4 本身不内置限流功能,但你可以用原生扩展(如 ext-swoole 或 ext-redis)+ 简单算法快速实现接口级限流。关键不是“PHP 8.4 特性”,而是你选的存储后端和并发模型是否支持原子操作与毫秒级精度。
为什么不能只靠 file_put_contents() + file_get_contents() 做限流
在 PHP-FPM 场景下,每个请求是独立进程/线程,flock() 虽能加锁,但高并发时文件 I/O 成为瓶颈,且无法跨机器共享状态。实测 QPS 超过 200 就开始出现漏判或误限。
- 文件锁在 NFS 或容器挂载卷上可能失效
- 没有自动过期机制,需额外定时清理
-
filemtime()精度是秒级,无法支撑每秒 10 次以上的窗口限流
用 Redis 实现令牌桶(推荐给大多数 HTTP 接口)
Redis 的 INCR、EXPIRE 和 Lua 原子脚本是 PHP 8.4 下最稳的组合。PHP 自带 ext-redis(已默认启用),无需额外装包。
核心逻辑:每个请求尝试消耗一个令牌;若桶中不足,则拒绝;每次成功后重置过期时间。
立即学习“PHP免费学习笔记(深入)”;
eval "local key = KEYS[1] local limit = tonumber(ARGV[1]) local window = tonumber(ARGV[2]) local current = redis.call('GET', key) if current == false then redis.call('SET', key, limit - 1, 'EX', window) return 1 else if tonumber(current) > 0 then redis.call('DECR', key) return 1 else return 0 end end" 1 "rate:api:/user/profile" 100 60在 PHP 中调用:
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$key = 'rate:api:' . $_SERVER['REQUEST_URI'];
$result = $redis->eval($luaScript, [$key, 100, 60], 1);
if ($result === 0) {
http_response_code(429);
echo json_encode(['error' => 'Too Many Requests']);
exit;
}用 Swoole 协程实现内存级漏桶(适合纯 Swoole HTTP Server)
如果你用的是 swoole_http_server(PHP 8.4 兼容 v5.1+),可直接用 Swoole\Coroutine\Channel 或 Swoole\Table 做无锁限流,性能比 Redis 高 3–5 倍。
-
Swoole\Table支持多协程并发读写,且自带 TTL 字段(setDeadline()) - 注意:仅限单机部署;重启服务会清空计数器
- 不要在
onRequest里 new 大量对象,复用Table实例
$table = new Swoole\Table(1024);
$table->column('count', Swoole\Table::TYPE_INT, 4);
$table->column('last_time', Swoole\Table::TYPE_INT, 8);
$table->create();
// 每秒允许 5 次请求,漏桶速率 1/s
function tryConsume($table, $key): bool {
$now = time();
$row = $table->get($key);
if ($row === false) {
$table->set($key, ['count' => 4, 'last_time' => $now]);
return true;
}
$elapsed = $now - $row['last_time'];
$newCount = min(5, $row['count'] + $elapsed); // 补充令牌
if ($newCount >= 1) {
$table->set($key, ['count' => $newCount - 1, 'last_time' => $now]);
return true;
}
return false;
}
别忽略的三个细节
限流不是加个判断就完事。真实线上容易翻车的地方往往藏在边界里:
- IP 提取要用
$_SERVER['REMOTE_ADDR']还是X-Forwarded-For?反向代理必须校验X-Real-IP并配置信任列表,否则伪造头可绕过 - 同一个用户多个设备(App / Web / 小程序)共用 token 时,该按
user_id限流,而不是 URI - Redis 脚本返回值是整型,PHP 中用
=== 0判断失败,不能用== false
