当前位置：首页 > C# > 正文

ASP.NET Core限流中间件详解（从零开始实现API请求频率控制）

主机测评网
C#
2025-12-02
923

在现代Web应用开发中，为了防止恶意攻击、保护服务器资源以及提升系统稳定性，限流（Rate Limiting） 是一项非常重要的安全机制。本文将手把手教你如何在 ASP.NET Core 中使用限流中间件，即使你是编程小白也能轻松上手！

ASP.NET Core限流中间件详解（从零开始实现API请求频率控制） Core限流中间件限流 Rate Limiting Web API限流第1张

什么是限流？

限流是指限制客户端在单位时间内对服务器发起的请求数量。例如：每分钟最多允许100次请求。超过限制的请求将被拒绝（通常返回 HTTP 429 Too Many Requests 状态码）。

在 ASP.NET Core 中，我们可以通过中间件（Middleware）的方式实现限流功能。中间件是请求处理管道中的组件，可以对每个请求进行拦截、处理或终止。

为什么需要限流？

防止 DDoS 攻击或暴力破解
避免服务器因突发流量而崩溃
公平分配资源，保障核心用户服务质量
符合 API 使用规范（如开放平台接口调用限制）

ASP.NET Core 内置限流支持（.NET 7+）

从 .NET 7 开始，微软官方提供了 Microsoft.AspNetCore.RateLimiting 包，让我们可以轻松实现限流功能。下面我们将通过一个完整示例来演示如何使用它。

步骤 1：安装 NuGet 包

在你的 ASP.NET Core 项目中，打开终端并运行：

dotnet add package Microsoft.AspNetCore.RateLimiting

步骤 2：配置限流策略

在 Program.cs 文件中添加限流服务和中间件：

using Microsoft.AspNetCore.RateLimiting;var builder = WebApplication.CreateBuilder(args);// 添加限流服务builder.Services.AddRateLimiter(options =>{    options.AddFixedWindowLimiter(policyName: "fixed", limiterOptions =>    {        limiterOptions.PermitLimit = 5;      // 允许5次请求        limiterOptions.Window = TimeSpan.FromMinutes(1); // 时间窗口为1分钟        limiterOptions.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;        limiterOptions.QueueLimit = 2;       // 排队等待的请求数上限    });});var app = builder.Build();// 启用限流中间件app.UseRateLimiter();app.MapGet("/api/data", () => "Hello from limited API!")   .RequireRateLimiting("fixed"); // 应用名为 "fixed" 的限流策略app.Run();

步骤 3：测试限流效果

启动应用后，访问 http://localhost:5000/api/data。前5次请求会正常返回，第6次请求在1分钟内将收到 429 Too Many Requests 响应。

自定义限流逻辑（可选进阶）

你还可以基于 IP 地址、用户身份等条件实现更精细的限流。例如，按客户端 IP 限流：

options.AddFixedWindowLimiter("ip-fixed", context =>{    var httpContext = context as HttpContext;    var ip = httpContext?.Connection.RemoteIpAddress?.ToString() ?? "unknown";    return RateLimitPartition.GetFixedWindowLimiter(ip, _ => new FixedWindowRateLimiterOptions    {        PermitLimit = 10,        Window = TimeSpan.FromMinutes(1)    });});