Rate-Limit 종류 및 구현 방법
· 8 min read
BackEnd Software Developer
Rate Limit이란
Rate Limit에 대한 설명
Rate Limit은 클라이언트가 일정 시간 동안 수행할 수 있는 요청 수를 제한하는 기법입니다. API 서버, 웹 애플리케이션, 캐시 시스템 등에서 서버 자원 보호, 공정한 서비스 제공, 악의적 공격 방어(DDoS) 등의 목적으로 활용됩니다.
Rate Limit의 필요성
- 시스템 과부하 방지: 갑작스러운 요청 폭주로 인한 서버 다운을 예방
- 서비스 품질 유지: 공정한 자원 분배를 통해 전체 사용자에게 일관된 응답 품질 제공
- 비용 절감: 클라우드 환경에서는 호출량에 따른 과금이 발생하는 경우가 많아 제한이 필요
Client에서의 처리 방안
- 서버로부터
429 Too Many Requests응답을 받을 경우, 재시도 딜레이(backoff) 적용 - 헤더 정보(
Retry-After)를 활용한 재요청 시점 조정 - 클라이언트 측 로컬 캐시로 서버 요청 자체를 최소화
Rate Limit의 종류
1. Fixed Window
특징: 고정된 시간 단위(예: 1분) 동안의 요청 수 제한 단점: 윈도우 경계에서 트래픽 버스트가 가능함
val WINDOW_SIZE_MS = 60000L
val windowKey = "rate:user:${userId}:${System.currentTimeMillis() / WINDOW_SIZE_MS}"
val count = redisTemplate.opsForValue().increment(windowKey)
redisTemplate.expire(windowKey, Duration.ofMillis(WINDOW_SIZE_MS))
if (count != null && count > limit) {
throw RateLimitExceededException("Too many requests")
}
2. Sliding Window Log
특징: 타임스탬프를 Redis Sorted Set에 저장하여 최근 윈도우 범위 내 요청 수를 검사 단점: ZSET 명령어 조합으로 인해 원자성이 부족함
val WINDOW_SIZE_MS = 60000L
val now = System.currentTimeMillis()
val key = "rate:user:$userId"
val windowStart = now - WINDOW_SIZE_MS
redisTemplate.opsForZSet().add(key, now.toString(), now.toDouble())
redisTemplate.opsForZSet().removeRangeByScore(key, 0.0, windowStart.toDouble())
val count = redisTemplate.opsForZSet().size(key) ?: 0
if (count > limit) throw RateLimitExceededException()
3. Token Bucket
특징: 일정 주기로 토큰을 생성하고 요청 시 토큰을 소모 단점: 갱신/소비 로직이 분리되어 있어 race condition 발생 가능
val now = System.currentTimeMillis()
val bucketKey = "bucket:user:$userId"
val tokens = redisTemplate.opsForHash<String, String>().get(bucketKey, "tokens")?.toIntOrNull() ?: 10
if (tokens <= 0) throw RateLimitExceededException()
redisTemplate.opsForHash<String, String>().put(bucketKey, "tokens", (tokens - 1).toString())
4. Leaky Bucket
특징: 일정 속도로 요청을 처리 (누수 방식 큐) 단점: 현재 상태와 누수량 계산을 동시에 해야 하므로 다중 요청 시 충돌 가능
val key = "leaky:user:$userId"
val now = System.currentTimeMillis()
val last = redisTemplate.opsForValue().get(key)?.toLongOrNull() ?: now
val leaked = ((now - last) / 1000).toInt()
val current = maxOf(0, redisTemplate.opsForValue().increment(key, -leaked.toLong()) ?: 0)
if (current >= capacity) throw RateLimitExceededException()
redisTemplate.opsForValue().increment(key)
개선점
위에서 제시된 코드를 원자적으로 개선
Sliding Window Log - Lua Script and some codes
Lua-Script
redis.call("ZADD", KEYS[1], ARGV[1], ARGV[1])
redis.call("ZREMRANGEBYSCORE", KEYS[1], 0, ARGV[2])
local count = redis.call("ZCARD", KEYS[1])
if tonumber(count) > tonumber(ARGV[3]) then
return 0
else
return 1
end
Kotlin code for lua-script
val now = System.currentTimeMillis()
val windowStart = now - WINDOW_SIZE_MS
val script = DefaultRedisScript<Int>()
script.scriptText = loadLuaScriptFromClasspath("scripts/sliding_window.lua")
script.resultType = Int::class.java
val allowed = redisTemplate.execute(
script,
listOf("rate:user:$userId"),
now.toString(),
windowStart.toString(),
limit.toString()
)
if (allowed == 0) throw RateLimitExceededException()
Token Bucket - Lua Script and some codes
Lua-Script
local bucket = redis.call("HMGET", KEYS[1], "tokens", "last_refill")
local tokens = tonumber(bucket[1]) or tonumber(ARGV[3])
local last_refill = tonumber(bucket[2]) or tonumber(ARGV[1])
local now = tonumber(ARGV[1])
local refill = math.floor((now - last_refill) / 1000 * tonumber(ARGV[2]))
tokens = math.min(tokens + refill, tonumber(ARGV[3]))
last_refill = now
if tokens < tonumber(ARGV[4]) then
return 0
else
tokens = tokens - tonumber(ARGV[4])
redis.call("HMSET", KEYS[1], "tokens", tokens, "last_refill", last_refill)
redis.call("EXPIRE", KEYS[1], 60)
return 1
end
Kotlin code for lua-script
val now = System.currentTimeMillis()
val script = DefaultRedisScript<Int>()
script.scriptText = loadLuaScriptFromClasspath("scripts/token_bucket.lua")
script.resultType = Int::class.java
val allowed = redisTemplate.execute(
script,
listOf("bucket:user:$userId"),
now.toString(),
"10", // refill rate
"100", // capacity
"1" // requested tokens
)
if (allowed == 0) throw RateLimitExceededException()
Leaky Bucket - Lua Script
Lua-Script
local state = redis.call("HMGET", KEYS[1], "count", "last_leak")
local count = tonumber(state[1]) or 0
local last_leak = tonumber(state[2]) or tonumber(ARGV[1])
local now = tonumber(ARGV[1])
local leaked = math.floor((now - last_leak) / tonumber(ARGV[2]))
count = math.max(0, count - leaked)
last_leak = last_leak + leaked * tonumber(ARGV[2])
if count + 1 > tonumber(ARGV[3]) then
return 0
else
count = count + 1
redis.call("HMSET", KEYS[1], "count", count, "last_leak", last_leak)
redis.call("EXPIRE", KEYS[1], 60)
return 1
end
Kotlin code for lua-script
val now = System.currentTimeMillis()
val script = DefaultRedisScript<Int>()
script.scriptText = loadLuaScriptFromClasspath("scripts/leaky_bucket.lua")
script.resultType = Int::class.java
val allowed = redisTemplate.execute(
script,
listOf("leaky:user:$userId"),
now.toString(),
"1000", // leak rate (ms per request)
"10" // capacity
)
if (allowed == 0) throw RateLimitExceededException()
Helper codes
Loading lua-script using class-loader
fun loadLuaScriptFromClasspath(path: String): String {
val classLoader = Thread.currentThread().contextClassLoader
val inputStream = classLoader.getResourceAsStream(path)
?: throw IllegalArgumentException("Script not found: $path")
return inputStream.bufferedReader().use { it.readText() }
}
Load scripts on Redis
# 등록
SCRIPT LOAD "$(cat scripts/token_bucket.lua)"
# 반환된 SHA 값 사용
EVALSHA "<SHA1>" 1 bucket:user:123 <now> 10 100 1
Applying using WebFilter
How it works
- WebFilter: 모든 요청을 가로채어 rate-limit 검사
- Lua Script: Redis에서 원자적으로 rate-limit 로직 수행
- RedisTemplate: 스크립트 실행 및 결과 확인
- 적용 대상: 전체 요청 또는 특정 URL/헤더/사용자에 따라 유연하게 적용 가능
How it results
- 사용자별 X-USER-ID 기준으로 초당 10개, 최대 100개의 토큰을 부여
- 초과 시 429 Too Many Requests 응답
- 정밀한 동시성 제어와 성능을 Lua + Redis로 처리
Example
@Component
class RateLimitWebFilter(
private val redisTemplate: StringRedisTemplate
) : WebFilter {
private val scriptSha: String
init { // fail-fast from instancing when application is booting-up
val scriptText = loadLuaScriptFromClasspath("scripts/token_bucket.lua")
val sha = redisTemplate.execute(RedisCallback { connection ->
connection.serverCommands().scriptLoad(scriptText.toByteArray())
})?.toHexString()
this.scriptSha = sha ?: throw IllegalStateException("Failed to register Lua script with Redis")
}
override fun filter(exchange: ServerWebExchange, chain: WebFilterChain): Mono<Void> {
val request = exchange.request
val userId = request.headers.getFirst("X-USER-ID") ?: "anonymous"
val now = System.currentTimeMillis()
val passed = redisTemplate.execute(RedisCallback { connection ->
connection.evalSha(
scriptSha,
ReturnType.INTEGER,
1,
"bucket:user:$userId".toByteArray(),
now.toString().toByteArray(),
"10".toByteArray(), // refill rate (tokens/sec)
"100".toByteArray(), // capacity
"1".toByteArray() // tokens required
)
}) as? Long
return if (passed == 1L) {
chain.filter(exchange)
} else {
exchange.response.statusCode = HttpStatus.TOO_MANY_REQUESTS
exchange.response.setComplete()
}
}
private fun loadLuaScriptFromClasspath(path: String): String {
val stream = Thread.currentThread().contextClassLoader.getResourceAsStream(path)
?: throw IllegalArgumentException("Lua script not found: $path")
return stream.bufferedReader().use { it.readText() }
}
private fun ByteArray.toHexString(): String =
joinToString("") { "%02x".format(it) }
}
Note
위의 예제는 인입되는 모든 요청에 대해 rate-limit을 적용합니다. 상황에 따라 적용 대상을 분리하여 적용할 수 있는데요. 그런 경우,request의 header, method 그리고 path등을 이용하여 처리할 수 있습니다.
마무리
Rate Limit은 시스템 안정성과 사용자 공정성을 동시에 만족시키기 위한 필수 전략입니다. 단순한 구현으로 시작하더라도 실제 서비스 환경에서는 정밀한 제어와 동시성 문제 해결이 중요해집니다.
이번 글에서는 대표적인 4가��지 알고리즘(Fixed, Sliding, Token, Leaky)의 원리와 구현, 그리고 Redis를 통한 Lua Script 기반의 원자적 처리 방식까지 살펴보았습니다.
적절한 전략을 선택하고, 필요에 따라 WebFilter 또는 API Gateway 레벨에서 적용한다면 여러분의 서비스는 더욱 강력하고 유연하게 확장될 수 있습니다. 🙂