C# RateLimiter中间件方法 C#如何配置固定窗口和滑动窗口限流

固定窗口限流用

RateLimitingMiddleware

配合

FixedWindowRateLimiter

ASP.NET Core 8+ 内置的限流中间件默认不启用任何策略，必须显式注册并配置。固定窗口的核心是“每 N 秒重置计数”，比如每 60 秒最多 100 次请求。

常见错误是只调用

AddRateLimiter

InvalidOperationException: No rate limiter policy is configured

Program.cs

AddFixedWindowLimiter

"fixed"

Window

TimeSpan

TimeSpan.FromMinutes(1)

60000

PermitLimit

builder.Services.AddRateLimiter(options =>
{
    options.AddFixedWindowLimiter("fixed", options =>
    {
        options.Window = TimeSpan.FromMinutes(1);
        options.PermitLimit = 100;
        options.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
        options.QueueLimit = 0; // 不排队，直接拒绝
    });
});

滑动窗口限流需手动实现或换用第三方库

ASP.NET Core 原生

RateLimiter

FixedWindowRateLimiter

SlidingWindowRateLimiter

这意味着你不能像固定窗口那样直接调用

AddSlidingWindowLimiter

RateLimiterOptions

IServerRateLimiter

AspNetCoreRateLimit

Microsoft.Extensions.Resilience

RateLimiter

StackExchange.Redis

中间件启用时必须指定策略名，且顺序不能错

注册完策略只是第一步，中间件本身需要明确告诉它“对哪些请求应用哪个策略”。漏掉

UseRateLimiter

UseRateLimiter()

UseRouting()

UseEndpoints()

"fixed"

ConfigureRateLimiter

EndpointRateLimiter

app.UseRouting();
app.UseRateLimiter(); // 必须在这里
app.UseEndpoints(endpoints =>
{
    endpoints.MapControllers().RequireRateLimiting("fixed");
});

滑动窗口的“平滑”特性容易被误读为“更宽松”

滑动窗口不是简单地把固定窗口切碎再叠加，它的计数是动态滚动的：例如“每 60 秒最多 100 次”，第 59 秒发起的请求会同时计入第 1 秒和第 60 秒两个窗口片段，实际允许短时突发更高——但这不是 bug，是设计使然。

如果你发现滑动窗口比预期放行更多请求，先确认是否混淆了“窗口长度”和“滑动粒度”。比如 Redis 实现中用 6 秒分片 × 10 片 = 60 秒窗口，但每个请求只更新当前分片，查询时 sum 最近 10 个分片值。这个 sum 过程如果没原子执行，就会出现竞态漏计。

ConcurrentDictionary<datetime int></datetime>