Django REST framework匿名限流设置方法

Django REST framework (DRF) 匿名用户限流：深入解析及反向代理下的IP获取

在使用DRF构建API时，对未登录用户（匿名用户）进行限流至关重要。本文将深入探讨DRF的匿名用户限流机制，并重点关注其在使用反向代理（如Nginx）时的IP地址获取策略。

许多开发者倾向于使用IP地址进行限流。然而，当项目部署在Nginx等反向代理服务器后，直接获取的IP地址往往是代理服务器的IP，而非用户的真实IP。这使得简单的IP限制方案失效。DRF是如何解决这个问题的呢？

关键在于DRF灵活的IP地址获取机制。它并非直接依赖REMOTE_ADDR，而是巧妙地利用了HTTP_X_FORWARDED_FOR请求头和api_settings.NUM_PROXIES配置。

让我们分析DRF源码中的get_ident方法：

def get_ident(self, request):
    """
    Identify the client IP by parsing HTTP_X_FORWARDED_FOR if present 
    and the number of proxies is > 0. Otherwise, use HTTP_X_FORWARDED_FOR 
    if available, or REMOTE_ADDR as a fallback.
    """
    xff = request.META.get('HTTP_X_FORWARDED_FOR')
    remote_addr = request.META.get('REMOTE_ADDR')
    num_proxies = api_settings.NUM_PROXIES

    if num_proxies is not None:
        if num_proxies == 0 or xff is None:
            return remote_addr
        addrs = xff.split(',')
        client_addr = addrs[-min(num_proxies, len(addrs))]
        return client_addr.strip()

    return ''.join(xff.split()) if xff else remote_addr

这段代码首先尝试获取HTTP_X_FORWARDED_FOR头信息。该头信息通常由反向代理服务器添加，包含一系列客户端IP地址，最后一个通常是用户的真实IP。api_settings.NUM_PROXIES配置了代理服务器数量。

如果NUM_PROXIES已配置且HTTP_X_FORWARDED_FOR存在，DRF会根据配置提取用户的真实IP；如果HTTP_X_FORWARDED_FOR不存在或NUM_PROXIES设置为0，则DRF回退到使用REMOTE_ADDR。 这种机制确保了DRF在不同环境下都能准确识别客户端IP，从而实现有效的匿名用户限流。