Ghi Chú

Ghi chú nhanh, chia sẻ dễ dàng

Soạn thảo Đơn giản, dễ dàng. Hỗ trợ định dạng văn bản, danh sách, khối code.

Chia sẻ Chuyển sang Công khai để nhận link 5 ký tự. Có thể đặt mật khẩu bảo vệ.

Đính kèm Chèn ảnh hoặc đính kèm file từ thanh công cụ soạn thảo.

Tự động lưu Nội dung được lưu tự động sau 2 giây. Lịch sử chỉnh sửa lưu tối đa 100 phiên bản.

Nâng cao Tự xóa sau thời gian hoặc số lượt đọc. Ghim, khóa chỉ đọc từ sidebar.

Đọc trên Terminal Thêm .txt vào cuối link để xem nội dung dạng văn bản thuần trên terminal.

Xây dựng cơ chế giới hạn tốc độ FastAPI với Redis

Tác giả: Khách — 20/03/2026

Xây dựng cơ chế giới hạn tốc độ tự động cho FastAPI với Redis

Trong môi trường sản xuất hiện đại, việc bảo vệ các dịch vụ API khỏi các cuộc tấn công từ chối dịch vụ (DDoS) hoặc tình trạng quá tải do một người dùng độc hại thao tác quá nhiều là yếu tố sống còn. Mặc dù FastAPI cung cấp các thư viện tiện ích để giới hạn tốc độ (rate limiting) dựa trên bộ nhớ RAM, nhưng trong một kiến trúc phân tán có nhiều instance, dữ liệu này thường mất đi khi server restart hoặc không đồng bộ giữa các máy chủ. Để giải quyết triệt để bài toán này, tôi sẽ hướng dẫn các bạn xây dựng một cơ chế giới hạn tốc độ mạnh mẽ, phân tán và có thể tùy biến bằng cách kết hợp FastAPI với Redis sử dụng thuật toán Token Bucket.

Chuẩn bị môi trường và kiến trúc tổng quan

Trước khi đi vào chi tiết code, chúng ta cần hiểu rõ lý do tại sao chọn Redis. Redis hoạt động như một cơ sở dữ liệu key-value cực nhanh, giúp lưu trữ số lượng request của từng người dùng (nhận diện qua IP hoặc User ID) dưới dạng đếm số (counter). Chúng ta sẽ sử dụng Python để viết mã nguồn, với FastAPI làm khung web và thư viện redis để giao tiếp. Kiến trúc này đảm bảo rằng dù bạn có mở rộng thêm bao nhiêu server vào cluster, thì giới hạn tốc độ vẫn được áp dụng chính xác và đồng bộ cho toàn bộ hệ thống.

Bước đầu tiên là cài đặt các thư viện cần thiết. Bạn cần cài đặt FastAPI, Uvicorn để chạy server, và Redis client cho Python. Hãy mở terminal và thực hiện lệnh sau để cài đặt các package này vào môi trường ảo của bạn.

pip install fastapi uvicorn redis

Sau khi cài đặt xong, bạn cần đảm bảo Redis server đang chạy sẵn. Nếu bạn đang làm việc trên local, có thể khởi động Redis bằng lệnh redis-server hoặc dùng Docker. Đối với môi trường production, bạn nên sử dụng dịch vụ Redis được quản lý từ các nhà cung cấp cloud như AWS ElastiCache hoặc DigitalOcean Managed Redis để đảm bảo độ ổn định.

Triển khai thuật toán Token Bucket trong FastAPI

Thay vì sử dụng các giải pháp có sẵn như slowapi hay limits có thể phức tạp khi tùy chỉnh, việc tự viết một middleware đơn giản giúp chúng ta kiểm soát hoàn toàn logic của mình. Chúng ta sẽ sử dụng thuật toán Token Bucket, nơi mỗi người dùng có một "cái xô" chứa số lượng token. Mỗi request sẽ tiêu tốn một token, và hệ thống Redis sẽ tự động bổ sung token theo một tốc độ nhất định hoặc đặt hết hạn (TTL) cho key đó.

Dưới đây là cách thiết lập kết nối Redis và định nghĩa middleware trong một file Python (ví dụ: main.py). Chúng ta sẽ sử dụng một instance Redis client đơn giản và đặt cấu hình kết nối thông qua biến môi trường để linh hoạt.

import os
from fastapi import FastAPI, Request, HTTPException
from fastapi.responses import JSONResponse
from redis import Redis

app = FastAPI()

# Kết nối tới Redis, mặc định là localhost:6379
REDIS_HOST = os.getenv("REDIS_HOST", "localhost")
REDIS_PORT = int(os.getenv("REDIS_PORT", 6379))
REDIS_DB = int(os.getenv("REDIS_DB", 0))

# Khởi tạo client Redis
redis_client = Redis(host=REDIS_HOST, port=REDIS_PORT, db=REDIS_DB, decode_responses=True)

# Cấu hình giới hạn tốc độ: số lượng request cho phép trong khoảng thời gian (giây)
RATE_LIMIT_REQUESTS = 10
RATE_LIMIT_PERIOD = 60  # 60 giây

def get_rate_limit_key(request: Request):
    # Lấy địa chỉ IP của client, ưu tiên header X-Forwarded-For nếu có (load balancer)
    client_ip = request.headers.get("x-forwarded-for", request.client.host)
    # Tách IP nếu có nhiều IP trong header
    if client_ip:
        client_ip = client_ip.split(",")[0].strip()
    else:
        client_ip = "unknown"
    return f"ratelimit:{client_ip}"

async def check_rate_limit(request: Request, call_next):
    limit_key = get_rate_limit_key(request)
    
    # Sử dụng lệnh INCR để tăng số lượng request và tự động đặt TTL nếu key chưa tồn tại
    # Đây là kỹ thuật atomic để đảm bảo không có race condition
    result = redis_client.incr(limit_key)
    
    if result == 1:
        # Nếu đây là request đầu tiên, đặt thời gian sống (TTL) cho key
        redis_client.expire(limit_key, RATE_LIMIT_PERIOD)
    
    # Nếu vượt quá giới hạn, từ chối request
    if result > RATE_LIMIT_REQUESTS:
        raise HTTPException(
            status_code=429,
            detail="Too many requests. Please try again later.",
            headers={"Retry-After": str(RATE_LIMIT_PERIOD)}
        )
    
    # Nếu hợp lệ, tiếp tục xử lý request
    response = await call_next(request)
    return response

# Đăng ký middleware
app.add_middleware(check_rate_limit)

Đoạn mã trên sử dụng lệnh INCR của Redis, một lệnh nguyên tử (atomic). Điều này cực kỳ quan trọng vì nó đảm bảo rằng ngay cả khi hàng ngàn request cùng đến vào cùng một mili-giây, Redis vẫn sẽ tăng giá trị chính xác mà không bị lệch. Nếu key chưa tồn tại (lần đầu tiên người dùng đó gọi API), giá trị sẽ là 1 và chúng ta dùng lệnh expire để thiết lập thời gian sống cho key đó, giúp hệ thống tự động xóa dữ liệu cũ mà không cần code dọn dẹp phức tạp.

Thêm endpoint thử nghiệm và phân tích hiệu năng

Để kiểm tra xem cơ chế này có hoạt động đúng như ý muốn hay không, chúng ta cần thêm một endpoint đơn giản để người dùng gọi. Tôi sẽ thêm một endpoint /api/test trả về một thông báo đơn giản. Khi bạn gọi endpoint này nhiều hơn 10 lần trong vòng 60 giây từ cùng một IP, hệ thống sẽ trả về mã trạng thái 429 (Too Many Requests).

@app.get("/api/test")
async def test_endpoint():
    return {"message": "Request successful!", "status": "OK"}

@app.get("/")
async def root():
    return {"message": "FastAPI Rate Limiting Demo with Redis"}

Để chạy server, bạn chỉ cần thực hiện lệnh uvicorn main:app --reload trong thư mục chứa file main.py. Sau khi server chạy, bạn có thể dùng công cụ như Postman, curl hoặc viết một script Python nhỏ để spam request. Hãy lưu ý rằng khi vượt quá giới hạn, bạn sẽ thấy header Retry-After xuất hiện trong response, hướng dẫn client nên chờ bao lâu trước khi thử lại.

Phân tích sâu và tối ưu hóa trong môi trường Production

Mặc dù giải pháp trên đã rất ổn định, nhưng trong môi trường production thực tế với lưu lượng hàng triệu request/giây, việc kết nối Redis cho mỗi request có thể tạo ra một điểm nghẽn (bottleneck) nếu Redis server không đủ mạnh. Để tối ưu hóa, các kỹ sư cấp cao thường áp dụng chiến lược "Local Cache + Distributed Cache". Cụ thể, mỗi instance FastAPI sẽ lưu một bản sao cache nhỏ trong bộ nhớ RAM (dùng functools.lru_cache hoặc dict đơn giản) để chặn các request spam ngay lập tức trước khi gửi lên Redis.

Việc này giúp giảm tải cho Redis xuống chỉ còn khoảng 10-20% so với tổng lượng request thực tế. Ngoài ra, bạn nên cân nhắc sử dụng FastAPI BackgroundTasks để thực hiện các thao tác log lỗi hoặc cảnh báo khi phát hiện IP bị block, thay vì làm điều này đồng bộ trong middleware, giúp tăng tốc độ phản hồi của API. Cuối cùng, hãy luôn nhớ cấu hình Redis Cluster với chế độ Sentinel để đảm bảo khả năng chịu lỗi (high availability). Nếu Redis bị sự cố, bạn có thể cấu hình middleware để tự động chuyển sang chế độ "fail-open" (cho phép tất cả request đi qua) để duy trì dịch vụ, hoặc "fail-closed" (đóng dịch vụ) tùy thuộc vào chính sách bảo mật của tổ chức bạn đang làm việc.

Tổng kết lại, việc tích hợp Redis vào FastAPI để thực hiện rate limiting không chỉ là một tính năng kỹ thuật mà là một chiến lược bảo mật chủ động. Nó giúp hệ thống của bạn trở nên kiên cường hơn trước các tác động xấu từ bên ngoài, đồng thời đảm bảo trải nghiệm người dùng công bằng cho tất cả mọi người. Hy vọng với hướng dẫn chi tiết này, các bạn đã có thể tự tay xây dựng và triển khai thành công cơ chế bảo vệ API cho dự án của mình.