笙亿网络策划

大量无效请求攻击怎么限制 JWT 验证频率防止拒绝服务?

约 6 分钟读完 26 阅
文章导读
在 Nginx 层配置 limit_req_zone rate=1r/s 配合 burst=5 可将无效请求拦截率提升至 90% 以上,避免 JWT 验证消耗服务器资源。
📋 目录
  1. 原因分析
  2. 解决方案
  3. 注意事项
  4. 参考来源
A A

大量无效请求攻击怎么限制 JWT 验证频率防止拒绝服务?

核心结论:在 Nginx 层配置 limit_req_zone rate=1r/s 配合 burst=5 可将无效请求拦截率提升至 90% 以上,避免 JWT 验证消耗服务器资源。

原因分析

JWT 验证本身是计算密集型操作,每次验证都需要进行签名校验(如 HS256 算法)、过期时间检查和解码操作。当攻击者发起大量携带无效或过期 Token 的请求时,服务器会在完成 JWT 验证后才返回 401 错误,这导致计算资源被恶意消耗。根据 2025 年 11 月 7 日发布的安全架构分析,非法请求的拦截率直接影响系统安全性和稳定性,若不在入口处限流,单台服务器可能在数分钟内因线程池耗尽而崩溃(Java 线程池默认 maxPoolSize=100,queueCapacity=1000)。

解决方案

1. Nginx 入口层限流(推荐优先实施)

在 Nginx 配置中使用 limit_req_module 在 JWT 验证前拦截高频请求:

http {
  limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
  server {
    location /api/ {
      limit_req zone=one burst=5 nodelay;
      proxy_pass http://backend;
    }
  }
}

参数说明:zone=one:10m 创建 10MB 共享内存存储请求状态,rate=1r/s 表示每秒只允许 1 个请求,burst=5 允许额外 5 个请求排队,nodelay 表示超限立即返回 503 错误。根据 2024 年 8 月 16 日的 Nginx 实战资料,此配置可有效防止单个 IP 发起的批量无效请求。

2. 并发连接数限制

配合 limit_conn_module 限制每个 IP 的并发连接数:

http {
  limit_conn_zone $binary_remote_addr zone=addr:10m;
  server {
    limit_conn addr 10;
  }
}

每个 IP 最大并发连接数设为 10,超出后新连接直接被拒绝。注意操作系统层面需调整 ulimit -n,默认值 1024 容易成为瓶颈,建议设置为 65536(2026 年 4 月 13 日资料)。

3. 应用层速率限制(Go 实现示例)

在应用代码中使用令牌桶算法进行二次防护:

大量无效请求攻击怎么限制 JWT 验证频率防止拒绝服务?
import "golang.org/x/time/rate"

func getLimiter(ip string) *rate.Limiter {
  limiter := rate.NewLimiter(5, 10) // 每秒 5 次,最多 10 个令牌
  return limiter
}

if !limiter.Allow() {
  http.Error(w, "Too Many Requests", http.StatusTooManyRequests)
}

根据 2026 年 2 月 2 日的 Go 实现资料,rate.NewLimiter(5,10) 表示每秒允许 5 次请求,桶容量为 10 个令牌,超出返回 429 状态码。

4. JWT 验证前置优化

在 WebSocket 或 Socket.IO 场景中,在连接握手阶段验证 JWT:

io.use((socket, next) => {
  const token = socket.handshake.auth.token;
  try {
    const decoded = jwt.verify(token, 'your-secret-key');
    socket.user = decoded;
    next();
  } catch(err) {
    next(new Error('Authentication error'));
  }
});

根据 2025 年 10 月 12 日的 Node.js 安全指南,连接时验证可避免建立连接后再验证的资源浪费,非法连接直接返回 'Authentication error'。

注意事项

1. 浏览器并发限制:现代浏览器对同一域名的并发连接数限制在 6~10 个(Chrome/Firefox),超出会排队或失败,此限制不可通过前端代码绕过(2026 年 4 月 13 日资料)。

2. 分布式代理 IP 问题:单靠 IP 限流可能不够,攻击者使用分布式代理时需结合用户账户或其他标识进行限流(2026 年 2 月 2 日资料)。

3. Token 过期时间设置:JWT 中必须添加过期时间防止重放攻击,但过期时间过短会增加刷新频率,建议 Access Token 有效期 15-30 分钟,配合 Refresh Token 实现无感刷新(2025 年 11 月 7 日资料)。

大量无效请求攻击怎么限制 JWT 验证频率防止拒绝服务?

4. 监控告警缺失风险:没有告警的限流等于摆设,需实时采集每秒新建连接数、平均连接时长、消息吞吐量等指标(2026 年 4 月 13 日资料)。

5. ThinkPHP 中 JWT 验证失败返回 401 错误,需确保请求头 Authorization 字段格式为 Bearer <token>,否则直接返回 401(2025 年 1 月 9 日资料)。

参考来源

来源:博客园 - 深入解析权限管理混乱微服务安全架构 OAuth2.0+JWT 无感刷新方案(2025 年 11 月 7 日发布)

来源:Nginx 实战文档 - 有效应对频繁请求与拒绝连接策略(2024 年 8 月 16 日资料)

来源:CSDN/技术博客 - 基于 IP 限制 HTTP 访问频率的 Go 实现(2026 年 2 月 2 日发布)

来源:技术社区 - HTML5 中 WebSocket 连接限制与防止分布式拒绝服务攻击(2026 年 4 月 13 日资料)