如果某一个已获授权的用户对 api 进行恶意访问，比如使用脚本超高频率的访问某一个 GET 请求，影响服务器性能，类似这类请求，微服务架构的话可以在 gateway 中写相关的 filter 逻辑，那美国服务器么单体应用有哪些方法可以防范这类情况？

这种运维方面的一般交给云 来处理。。

如果用程序解决的话，那么就是在接口那里加一个缓存统计了，用来限制访问频率

不能配置个 Nginx 作网关吗，在应用内处理不太科学

对授权用户进行 ip 接口调用频次限制不就行了么

可以 Nginx 配置一下，要真的还有其他类似需求的话上个 waf 好了

单体也能加 filter 啊。

不借助其他组件，那么在应用内用限流，通常是 AOP 或请求处理中间件的开发模式，判断单一来源请求数在一个时间范围内超过阈值就中断后续处理，直接返回 HTTP 响应码 403

限流，绝大部分服务使用人数一多，就会有恶意用户，无论你愿不愿意，此时限流框架是必须的。不过服务使用量还没起来前，就没必要那么讲究了

限流应该用 429……你这 403 太秀了

使用 WAF 或 CC 防护解决方案

我个人觉得 429 是对善意使用的响应，对于恶意访问这响应的含义太温和了，retry-after 都不能给

对 api 的再单位时间内的访问次数做限制
譬如一分钟最多访问 30 次! 譬如 yii2 的 restful： https://www.yiichina.com/doc/guide/2.0/rest-rate-limiting

恶意访问直接 reset connection……

请求拦截由网关处理，微服务不做拦截，各司其职

flask-limit,恶劣的让 nginx 直接拉黑

感谢各位答疑解惑~