Как уберечься от слишком частых ajax запросов?

Question

[lissoff-1]

Для обновления данных я использую setTimeout с аякс-запросом, который исполняется раз в 10 секунд во избежании больших нагрузок. Но хрустик покопался в консоли хрома и обнаружил, что юзер может сам сформировывать и отправлять множественный такой запрос с очень коротким интервалом. Мне кажется выход только один, нужно на стороне сервера как-то проверять частоту входящих запросов.

Додумался до такого пока только:

if ($_SESSION['time'] + 10 > time()) exit(json_encode(array('limit')));
$_SESSION['time'] = time();

Подскажите, нормальное ли это решение илии лучше как-то по другому делать?

Answer 1

[Daria Motorina]

Можно попробовать готовые библиотеки по ключу "rate limiter"
https://packagist.org/?query=rate%20limiter
Upd. Другой ключ - "throttling/request throttling"

Answer 2

[Алексей]

Server-Sent Events

Answer 3

[rPman]

websocket

Сервер должен сообщать об обновлениях данных клиентам, это наилучшее решение как с точки зрения ресурсов и интернета так и по разработке.

Comments

[lissoff-1]

не хочется в это лезть, у меня вопрос именно по аякс запросу. ведь жили как-то люди и противостояли этому в древние времена без вебсокетов? вопрос - как. спасибо

[rPman]

именно так сейчас и надо делать, и никак иначе

до появления websocket их эмулировали с помощью технологии long pooling (гуглить либы есть), когда запрос к серверу на обновление данных им придерживается максимально долго, а чтобы соединение не обрывалось, периодически отправляет по символу, т.е. клиент как бы качает бесконечный файл очень медленно (как только появляется обновление, загрузка завершается), чаще всего это подключаемый javascript с вызовом функции dataUpdated(данные json); Сейчас можно обойтись и асинхронным аяксом.

но использовать эту технологию сейчас - это извращение

[lissoff-1]

мне необходимо запросы к базе делать, рвз в несколько минут извлекать данные, выводить на странице без перезагрузки, вебсокет то откуда будет их брать? он что, к моей базе умеет подключаться?

[rPman]

На сервер у тебя должен крутиться вебсокет сервис, который и будет как то мониторить изменения и рассылать нотисы клиентам.

Если вебсокет сервер так же будет принимать и обрабатывать запросы на модификацию данных, то ему не потребуется опрашивать базу данных в принципе, ведь сервер в момент изменений может разослать сразу сообщения клиентам, если делать все асинхронно, то будет быстро и просто.

По факту код менять сильно не придется, просто метод, который ты ранее вызывал на получение POST запроса, пусть теперь вызывается на прием сообщения по websocket, ну и клиент чуть чуть переделать вместо отсылки ajax, так же сообщение по вебсокету.

[lissoff-1]

короче ладно. но ответ не удовлетворяет, вопрос был об аяксе.

[rPman]

сочувствую тебе
если что в комментарии я выдал пример про лонгпулинг он подходит для аякса но это считается извращением в современной разработке.

иначе ты по техническим причинам не сможешь решить свою задачу, ибо аякс это про запросы клиента к серверу а не наоборот.

[lissoff-1]

у каждого юзера разные данные, они должны не просто выводиться, а где-то храниться. я хочу хранить их в базе. зачем мне эти вебсокеты, если мне не нужна моментальная отдача, просто нужно время от времени погружать более новые данные, нагрузок это не вызовет, но кто-то может атаку провести с консоли. если не знаете, как на сервере можно заблокировать слишком частые вопросы, как запретить выполнять скрипт слишком часто каждому отдельному юзеру, то и ладно, можете не отвечать.

[rPman]

как запретить выполнять скрипт слишком часто каждому отдельному юзеру

ответ тут кроется в определении что есть отдельный юзер, так как атакующий большинство определений легко обходит

если есть авторизация, то храни счетчик запросов в сессии (список дат последних N запросов) и при превышении лимитов выдавай отлуп

[lissoff-1]

авторизация есть. счетчик запросов?

if ($_SESSION['time'] + 10 > time()) exit(json_encode(array('limit')));
$_SESSION['time'] = time();

а это чем хуже? поясню, в сессии лежит время последнего запроса, при каждом новом запросе идет проверка, прошло ли более 10 секунд в данном примере, если не прошло, то скрипт останавливается, а если же все норм, то время обновляется и работа скрипта продолжается.

[rPman]

да