Возможно ли реализовать лимит на количество запросов в секунду по GET параметрам запроса?

Question

[iroge]

Задача, чтобы на все url вида api.php/api_key=#API_KEY#&method=phone&service=#SERVICE#&country=#COUNTRY# был лимит на количество запросов на адрес по IP. То есть , если пользователь с ip 199.0.0.0 запрашивает api.php/api_key=123&method=phone&service=5&country=6 , то ему нужно ждать секунду, чтобы запросить снова этот url с данными параметрами, а все запросы которые он делает в периоде этой секунды улетали в 429 ошибку. Возможно ли реализовать данный алгоритм средствами nginx? Что нужно поменять в конфиге?

map "$arg_api_key:$arg_method:$arg_service:$arg_country" $limit_first {
                default "";
                "~*^:phone:~*^:~*^" $binary_remote_addr;
        }

        map "$arg_activation:$arg_method" $limit_sec {
                default "";
                "~*^:cancel" $binary_remote_addr;
                "~*^:sms" $binary_remote_addr;
        }

        limit_req_zone $limit_first zone=req_first:10m rate=1r/s;
        limit_req_zone $limit_sec zone=req_sec:10m rate=1r/s;

Comments

[Lynn «Кофеман»]

Три раза прочитал вопрос и код и так и не понял что нужно залимитировать…

[Lynn «Кофеман»]

Впрочем вот эта конструкция "~*^:phone:~*^:~*^" выглядит явно неправильно.

[iroge]

Lynn «Кофеман», Нужно залимитировать запросы по ключу $arg_api_key$arg_service$arg_country для запросов с method=phone и залимитировать запросы по ключу $arg_api_key$arg_activation для запросов с method=sms

[Lynn «Кофеман»]

Может ли пользователь с IP 199.0.0.0 в это время запросить api.php/api_key=666&method=phone&service=5&country=6 ?

Может ли пользователь с IP 333.0.0.0 в это время запросить api.php/api_key=123&method=phone&service=5&country=6 ?

[Lynn «Кофеман»]

Ну и прочитайте что-нибудь про регулярные выражения, а так же документацию на map в nginx.

Answer 1

[Dimonchik]

нельзя
нужна считалка
как минимум fail2ban или аналог, и лучше бы аналог быстрый ( на хабре есть для Раста шик)

Comments

[Вадим]

Раста шик??

[Dimonchik]

шик
в много (1000 кажется) раз быстрее оригинального fail2ban

[iroge]

Dimonchik, Cпасибо за ответ)) Однако можно . Этот код реализует задачу:

##
        # Limits
        ##
        map "$arg_service:$arg_country:$arg_method" $limit_first {
                default "";
                "~*^.+:.+:phone$" $binary_remote_addr$arg_method$arg_service$arg_country;
        }

        map "$arg_activation:$arg_method" $limit_second {
                default "";
                "~*^.+:cancel$" $binary_remote_addr$arg_activation$arg_method;
                "~*^.+:sms$" $binary_remote_addr$arg_activation$arg_method;
        }

        limit_req_zone $limit_first zone=req_first:10m rate=1r/s;
        limit_req_zone $limit_second zone=req_second:10m rate=15r/m;

[Dimonchik]

iroge, да, признаю, ошибся, не ту задачу

привык к лимитному API, а Вы оригинально сделали через параметры

[mayton2019]

Интересно. Вроде н-жинкс поддерживает Lua. Можно на этой Луе сделать подсчет и складывать сведенья в Редис.

[Dimonchik]

там вопро в скорости, луа наверняка быстрее fail2ban, но на практике встречал самопис модуль на сях или на чем-то таком

+ есть же Ngnx Plus, возможно там есть решение