基本思路

基于JWT的API速率限制，是通过JWT中携带的信息来识别用户或客户端，为每个识别的主体设置相应的访问速率规则，监控其在一定时间窗口内对API的访问次数，当访问次数达到设定的限制时，拒绝后续请求。

JWT的作用

1. 身份识别：JWT中包含用户或客户端的标识信息（如用户ID等），可唯一确定请求来源，以便针对不同主体进行速率限制。
2. 验证合法性：通过验证JWT的签名来确认请求的合法性，只有合法的请求才纳入速率限制的统计。

完成速率限制的大概步骤

1. JWT验证：
   • 在API入口处，验证请求中携带的JWT是否合法，包括检查签名、过期时间等。
2. 提取标识：
   • 从验证通过的JWT中提取用于标识请求主体的信息，如用户ID。
3. 速率统计：
   • 使用缓存（如Redis）来记录每个标识在设定时间窗口内的API访问次数。每次请求到达时，对应标识的访问次数加1。
4. 限制判断：
   • 将当前标识的访问次数与设定的速率限制阈值进行比较。若未超过阈值，允许请求继续处理；若超过阈值，则返回速率限制相关的错误信息，拒绝请求。
5. 时间窗口管理：
   • 缓存中的访问次数记录需要按照设定的时间窗口进行更新或重置。例如，每60秒重置一次计数，以实现每分钟的速率限制。