推荐使用全局单例redis.redis()连接redis,通过redis.from_url()解析环境变量中的连接串,配置socket_timeout和socket_connect_timeout为1秒;验证码key需带业务前缀、用户标识和行为类型,用set(key, value, ex=300, nx=true)原子写入;限流应使用lua脚本或redis-cell保证原子性;所有redis操作须设超时并重试,避免阻塞flask主线程。
Flask 里怎么连上 Redis 做验证码和限流
直接用 redis.Redis() 实例,别碰 redis.ConnectionPool 手动管理——除非你真在高并发下压测出连接泄漏。Flask 本身不带 Redis 集成,flask-redis 库只是薄封装,反而多一层抽象,容易让你误以为它自动处理了连接复用或超时,其实没做太多事。
推荐方式:全局单例 redis.Redis,显式配置 socket_timeout 和 socket_connect_timeout(建议都设为 1 秒),避免某次 Redis 挂掉拖垮整个 Flask 请求。
-
host和port别写死,从环境变量读,比如os.getenv("REDIS_URL", "redis://127.0.0.1:6379/0") - 用
redis.from_url()解析连接串,它会自动识别redis://或rediss://,也支持密码(redis://:password@host:port/0) - 别在每次请求里新建
Redis实例——连接开销大,且可能触发文件描述符耗尽
验证码存 Redis 怎么设 key 和过期时间才不撞车
key 设计要带业务前缀 + 用户标识 + 行为类型,比如发短信验证码用 f"verify:sms:{phone}",邮箱用 f"verify:email:{email}"。别只用 phone 当 key,否则邮箱和短信验证码会互相覆盖。
过期时间不是越长越好:setex 是原子操作,但如果你先 get 再 setex,就可能被并发请求绕过校验。必须用 set(key, value, ex=300, nx=True)(nx=True 表示仅当 key 不存在时才设),否则攻击者可反复刷接口重置倒计时。
立即学习“Python免费学习笔记(深入)”;
- 验证码值建议用
secrets.token_urlsafe(6)生成,别用random模块——它不安全 - 存的时候顺手记个尝试次数:
incr("verify:attempts:phone"),配合expire("verify:attempts:phone", 3600) - 验证成功后,立刻
delete("verify:sms:{phone}")和delete("verify:attempts:phone"),别等过期——防止重放
API 限流用 Redis 实现,为什么不能只靠 INCR + EXPIRE
单纯 incr 加 expire 有竞态:如果两个请求几乎同时到达,都看到 count 是 0,都执行 incr 和 expire,结果 expire 被执行两次,但过期时间不会叠加,导致窗口错乱。正确做法是用 Lua 脚本保证原子性,或者直接用现成的 redis-cell 模块(需 Redis 4.0+)。
更轻量的方案是用 redis.Redis().eval() 执行一段小脚本,例如滑动窗口计数:
local current = redis.call("INCR", KEYS[1])
if current == 1 then
redis.call("EXPIRE", KEYS[1], ARGV[1])
end
return current
调用时传 keys=["rate:login:192.168.1.1"]、args=[60],就能实现「每分钟最多 10 次」的硬限制。
- 限流 key 必须含客户端标识,IP 最简单,但注意 Nginx 转发后得取
X-Real-IP或X-Forwarded-For头 - 别对所有接口用同一套限流规则——登录接口可以严一点(比如 5 次/分钟),查询接口宽松些(100 次/分钟)
- 返回 HTTP 429 时,加个
Retry-Afterheader,值设为剩余等待秒数,前端可据此禁用按钮
Flask 路由里怎么安全地读写 Redis 不阻塞主线程
Redis 默认是同步阻塞 I/O,哪怕只是 get 一个 key,网络抖动也会卡住整个 Werkzeug worker。别指望加个 try/except 就万事大吉——超时异常会抛到视图函数里,但错误日志里看不到 Redis 连接细节,排查困难。
真正要做的,是在初始化阶段就验证 Redis 可达性,并在每个 Redis 操作外层包一层超时控制。用 redis.Redis(..., socket_timeout=1, socket_connect_timeout=1) 是基础,再配合 tenacity 重试(最多 2 次,指数退避),比裸写 try/except 更可靠。
- 不要在
@app.before_request里执行 Redis 操作——它会影响所有请求,包括健康检查 - 验证码校验、限流判断这些逻辑,放在视图函数开头,失败直接
return jsonify(...), 400,别往后走 - 本地开发时,可以用
fakeredis.FakeStrictRedis()替代真实 Redis,但记得只在pytest或单元测试里用,别混进app.py
Redis 的原子性和低延迟很诱人,但它的单线程模型意味着一个慢脚本(比如没设 count 上限的 lrange)会堵住所有后续命令。线上务必打开 slowlog,定期查 redis-cli slowlog get 10。还有,别把验证码明文存在 Redis 里——哪怕只是临时,也该用 sha256(phone + code + salt).hexdigest()[:12] 存哈希。
