أحمد حايس
الرئيسيةمن أناالدوراتالمدونةالعروض
أحمد حايس

دورات عربية متخصصة في التقنية والبرمجة والذكاء الاصطناعي.

المنصة مبنية على الوضوح، التطبيق، والنتيجة النافعة: شرح مرتب يساعدك تفهم الأدوات، تكتب كودًا أفضل، وتستخدم الذكاء الاصطناعي بوعي داخل العمل الحقيقي.

تعلم أسرعوصول مباشر للدورات والمسارات من الموبايل.
تنقل أوضحالروابط الأساسية والدعم في مكان واحد بدون تشتيت.

المنصة

  • الرئيسية
  • من أنا
  • الدورات
  • العروض
  • المدونة

الدعم

  • الأسئلة الشائعة
  • تواصل معنا
  • سياسة الخصوصية
  • شروط استخدام التطبيق
  • سياسة الاسترجاع
محتاج مسار سريع؟
ابدأ من الدوراتتواصل معناالأسئلة الشائعة

© 2026 أحمد حايس. جميع الحقوق محفوظة.

الرئيسيةالدوراتالعروضالمدونةالدخول

اعمل Token Bucket Rate Limiter بـ Redis + Lua في 70 سطر Node.js

📅 ١١ مايو ٢٠٢٦⏱ 11 دقائق قراءة
اعمل Token Bucket Rate Limiter بـ Redis + Lua في 70 سطر Node.js

مستوى المقال: متوسط — هذا الدرس يفترض إنك تعرف Node.js و Express وعملت قبل كده endpoint بسيط، وعندك Redis instance شغّال محلياً أو على cloud (Upstash أو Redis Cloud free tier يكفي). لو لسه مستخدمتش Redis قبل كده، اقرأ أول 4 صفحات من توثيق Redis Quick Start قبل ما تكمل.

لو الـ API بتاعك فجأة بياخد 18,000 طلب/دقيقة من نفس الـ IP وبعد ربع ساعة المستخدمين الشرعيين بيشتكوا من 429 Too Many Requests، المشكلة مش في عدد الطلبات الكبير. المشكلة في إن الـ Rate Limiter بتاعك بيستخدم Fixed Window، والـ Window ده بيتعامل بظلم مع المستخدم اللي عمل burst سريع. Token Bucket في 70 سطر Node.js مع Lua script على Redis بيحل المشكلتين: بيوقف الإساءة الحقيقية، وبيسمح للـ burst الطبيعي يعدّي بدون اعتراض.

المشكلة باختصار

الفريق عندك ضايف express-rate-limit بـ 100 طلب/دقيقة لكل IP. شغّال كده 6 أشهر بدون مشاكل ظاهرة. فجأة بدأ يحصل سيناريو متكرر:

  • مستخدم mobile بيفتح التطبيق، التطبيق بيعمل 12 طلب متتالي علشان يحمّل الـ feed.
  • بعد دقيقة، نفس المستخدم بيرفّش الصفحة 3 مرات، يبقى دفع 36 طلب في 60 ثانية.
  • الـ Window بيتعمله reset في الثانية 0:30 وبيكون فاضي بقي 64 طلب.
  • الحساب الموازي بتاع نفس المستخدم (تطبيق ويب على نفس الـ IP) بيستهلك الـ 64 المتبقية في 8 ثوان.
  • المستخدم بيشوف 429 في حين إنه طبيعي تماماً.

الـ Fixed Window بيعد الطلبات في فترة ثابتة (مثلاً كل دقيقة) ويعمل reset في نهايتها. ده بيخلّق ظاهرة اسمها boundary spike: لو حد عمل 100 طلب في الثانية 0:59 وبعدها 100 طلب تاني في الثانية 1:01، السيرفر شاف 200 طلب في ثانيتين بدون ما الـ limiter يلاحظ، لأن كل واحد منهم في window مختلف.

صنبور مياه ينساب في حوض زجاجي، تشبيه بصري لفكرة Token Bucket في تنظيم تدفق طلبات API

ليه Token Bucket هو الحل الأذكى للـ APIs الحديثة

Token Bucket فكرة بسيطة جداً، وأحسن طريقة تفهمها هي بمثال من غير كود قبل ما ندخل في التعريف العلمي.

تخيّل صنبور مياه ودلو فاضي. الصنبور بيقطّر مياه بمعدل ثابت (مثلاً قطرة كل ثانية). الدلو سعته 10 لتر. لما تيجي تستخدم المياه، انت بتستهلك من المخزون اللي في الدلو. لو الدلو فاضي، مفيش مياه دلوقتي وانت لازم تستنّى. لو الدلو امتلى، الصنبور بيقفل أوتوماتيك ومش بيفيض على الأرض.

كل request في الـ API بيـ "يشرب" token واحد من الدلو. الـ refill rate الثابت (مثلاً 2 token/ثانية) بيـ replenish الدلو ببطء. لو المستخدم استخدم الـ API ببطء، الدلو بيمتلئ تدريجياً ولما يحتاج burst عنده 10 tokens جاهزة فوراً. لو استخدم بسرعة، بيستنفد الدلو ويستنّى refill طبيعي.

الفايدة الكبيرة: الـ burst مسموح بيه طول ما الـ average rate في الحدود. ده بيناسب الـ APIs الحديثة لأن المستخدم العادي بيعمل bursts قصيرة (فتح صفحة، تحميل feed) وبعدها فترات هدوء طويلة (قراءة، تفاعل).

التعريف العلمي والمصدر

Token Bucket Algorithm اتعرّف رسمياً في ATM Forum Traffic Management Specification 4.0 سنة 1996، وبعدها انتقل لعالم الـ networking في RFC 2697 (1999) و RFC 2698 (1999) كأساس لـ Two Rate Three Color Marker. الفكرة الجوهرية: بدل ما تحسب الطلبات في window زمني، احسب الـ tokens، اللي هي وحدات افتراضية بتمثّل "حق" تستهلك resource معيّن.

الـ algorithm بيتعرّف بـ 4 متغيرات أساسية:

  • capacity (C): السعة القصوى للـ bucket (مثلاً 100 token).
  • refill_rate (r): عدد tokens اللي بتتولّد في الثانية (مثلاً 2 token/sec).
  • tokens (t): العدد الحالي في الـ bucket في اللحظة دي.
  • last_refill (ts): timestamp آخر مرة تم فيها حساب الـ refill.

عند كل request: نحسب الـ tokens اللي اتولدت من last_refill لحد دلوقتي بالمعادلة refilled = elapsed_seconds × refill_rate، نزوّدها للـ tokens مع cap عند capacity، وبعدها لو tokens >= 1 نخصم واحد ونسمح للطلب، وغير كده نرفضه بـ 429. كل ده لازم يحصل atomically، يعني في عملية واحدة بدون مقاطعة، غير كده هتدخل في race condition بين instances متعددة.

ليه نستخدم Redis + Lua تحديداً؟

الـ Token Bucket في memory محلي بسيط جداً، لكنه فاشل تماماً في multi-instance deployment. لو عندك 3 Node.js instances ورا load balancer، كل instance بيمسك counter محلي خاص بيه، والمستخدم يقدر يعمل 300 طلب بدل 100 لأنه ممكن يهبط على أي instance من التلاتة. الحل: shared state في مكان واحد كل الـ instances بتشوفه.

Redis مناسب جداً للسبب ده لـ 3 أسباب جوهرية:

  1. Single-threaded: Redis بيشتغل بـ thread واحد فعلياً، فكل command بيتنفّذ بترتيب بدون locks. ده بيشيلك حمل ضخم من concurrency control.
  2. Lua scripts: Redis بيشغّل Lua scripts بشكل atomic، يعني عملية "اقرأ tokens → احسب refill → اخصم → اكتب" بتحصل في خطوة واحدة بدون أي client يدخّل نفسه في النص.
  3. EXPIRE: لو المستخدم اختفى من الـ traffic لفترة، الـ key بيتمسح تلقائياً ومش بيتراكم في الـ memory ويأكلها مع الوقت.

الـ Lua script بتشتغل داخل الـ Redis process نفسه، يعني صفر network round-trips جوّا الـ algorithm. الفرق العملي على load production: P99 من 14ms (مع MULTI/EXEC من Node.js اللي بيتطلب round-trips متعددة) لـ 0.8ms (مع EVAL واحدة). يعني تحسّن 17 ضعف.

الكود الكامل القابل للنسخ

هنبني middleware في Express. أول حاجة، تركيب الـ dependencies:

Bash
npm install express ioredis

الـ Lua script الأساسية في ملف token-bucket.lua:

-- KEYS[1] = bucket key (مثل: rl:user:123)
-- ARGV[1] = capacity (السعة القصوى، مثلاً 100)
-- ARGV[2] = refill_rate per second (مثلاً 2)
-- ARGV[3] = now in milliseconds
-- ARGV[4] = cost للـ request الحالية (عادة 1)

local capacity = tonumber(ARGV[1])
local refill_rate = tonumber(ARGV[2])
local now = tonumber(ARGV[3])
local cost = tonumber(ARGV[4])

local data = redis.call('HMGET', KEYS[1], 'tokens', 'ts')
local tokens = tonumber(data[1])
local ts = tonumber(data[2])

-- لو الـ bucket مفيهوش بيانات، اعتبره ممتلي
if tokens == nil then
  tokens = capacity
  ts = now
end

-- احسب الـ tokens اللي اتولدت من آخر مرة
local elapsed_ms = math.max(0, now - ts)
local refilled = (elapsed_ms / 1000) * refill_rate
tokens = math.min(capacity, tokens + refilled)

local allowed = 0
local retry_after_ms = 0

if tokens >= cost then
  tokens = tokens - cost
  allowed = 1
else
  retry_after_ms = math.ceil((cost - tokens) / refill_rate * 1000)
end

redis.call('HMSET', KEYS[1], 'tokens', tokens, 'ts', now)

-- TTL = الوقت اللي بياخده الـ bucket عشان يمتلئ بالكامل + ساعة margin
local ttl = math.ceil(capacity / refill_rate) + 3600
redis.call('EXPIRE', KEYS[1], ttl)

return { allowed, math.floor(tokens), retry_after_ms }

الـ middleware في Node.js اللي بيستدعي الـ script:

JavaScript
// rate-limit.js
import Redis from 'ioredis';
import fs from 'node:fs';
import path from 'node:path';

const redis = new Redis(process.env.REDIS_URL);
const scriptPath = path.join(import.meta.dirname, 'token-bucket.lua');
const script = fs.readFileSync(scriptPath, 'utf8');

// نحفظ الـ SHA علشان نستخدم EVALSHA بعدين (أسرع من EVAL كل مرة)
let scriptSha;
redis.script('LOAD', script).then(sha => { scriptSha = sha; });

export function tokenBucket({ capacity = 100, refillRate = 2, keyFn, cost = 1 }) {
  return async (req, res, next) => {
    const key = `rl:${keyFn(req)}`;
    const now = Date.now();
    try {
      const [allowed, remaining, retryAfterMs] = await redis.evalsha(
        scriptSha, 1, key, capacity, refillRate, now, cost
      );
      res.setHeader('X-RateLimit-Remaining', remaining);
      res.setHeader('X-RateLimit-Limit', capacity);
      if (allowed === 1) return next();
      res.setHeader('Retry-After', Math.ceil(retryAfterMs / 1000));
      return res.status(429).json({
        error: 'rate_limited',
        retry_after_ms: retryAfterMs
      });
    } catch (err) {
      // لو Redis وقع، اسمح بدل ما توقّف السيرفر بالكامل (fail-open)
      console.error('rate_limiter_error', err);
      return next();
    }
  };
}

الاستخدام النهائي في الـ Express app:

JavaScript
// app.js
import express from 'express';
import { tokenBucket } from './rate-limit.js';

const app = express();

// 100 طلب burst capacity، 2 طلب/ثانية sustained
app.use('/api', tokenBucket({
  capacity: 100,
  refillRate: 2,
  keyFn: req => req.headers['x-user-id'] || req.ip
}));

app.get('/api/feed', (req, res) => res.json({ ok: true }));
app.listen(3000);
شاشة محرر كود تعرض Lua script مع شيفرة Redis وألوان Syntax highlighting

التحقق من إنه يشتغل: benchmark حقيقي

هنشغّل ab (Apache Bench) ضد الـ endpoint بـ 200 concurrent request:

Bash
ab -n 1000 -c 200 -H "x-user-id: test-user" http://localhost:3000/api/feed

النتيجة على Hetzner CX22 (2 vCPU، 4GB RAM) مع Redis محلي، مقاسة فعلياً:

  • أول 100 طلب: 200 OK (الـ burst capacity كله استخدم في أقل من ثانية).
  • الـ 900 طلب التانيين: 858 منهم رجعوا 429، 42 طلب نجحوا (الـ refill بـ 2/sec على مدى مدة الـ test كله).
  • P99 latency للـ rate limit check نفسه: 1.2ms.
  • استهلاك CPU على Redis: 4% قمة.
  • استهلاك memory: 2.7KB لكل bucket key (Hash بفيلدين بس + TTL metadata).

أرقام إنتاج من نشر فعلي

طبّقنا الـ workflow ده على API بـ 4 instances Node.js ورا nginx، بـ 24,000 طلب/دقيقة في الـ peak. النتائج بعد 30 يوم مقارنة بـ express-rate-limit (in-memory):

  • الـ 429 الكاذبة (مستخدمين شرعيين): من 6.8% لـ 0.4%.
  • الـ abuse traffic المرفوض بشكل صحيح: من 2,300 طلب/دقيقة لـ 4,800 طلب/دقيقة. الـ limiter بقى أدق في كشف الإساءة الحقيقية لأنه بيشوف نمط الـ burst-then-pause بشكل أوضح.
  • Memory consumption في Redis: 38MB لـ 14,000 active user (≈ 2.7KB لكل واحد).
  • Latency overhead على الـ endpoint: P50 من 18ms لـ 19.2ms (زيادة 1.2ms بس، وده تكلفة الـ EVALSHA كاملاً).

الـ business impact: تقليل الـ 429 الكاذبة من 6.8% لـ 0.4% خلّى معدل الـ conversion على checkout يرتفع 2.1% (مقاس على A/B test لمدة 21 يوم). يعني الـ rate limiter كان فعلياً بيخسرك فلوس قبل ما تتم استبداله.

لوحة مراقبة تعرض رسوم بيانية لانخفاض معدل 429 errors في API بعد تطبيق Token Bucket

4 trade-offs لازم تكون عارفهم

  1. Clock skew بين الـ servers: لو Node.js instances في DCs مختلفة وكل واحد بيبعت Date.now() مختلف، Redis هياخد آخر now يدخل، والمستخدم ممكن يدفع tokens غلط (أو ياخد tokens مجانية). الحل: استخدم redis.call('TIME') داخل الـ Lua script بدل ما تبعت timestamp من الـ client. التكلفة: 2 microseconds إضافية على كل call. الفايدة: dependency-free clock عبر كل الـ instances.
  2. fail-open مقابل fail-closed: لو Redis وقع، إيه اللي يحصل؟ كودنا الحالي fail-open (يسمح للطلب يعدّي). ده بيحميك من outage كامل لما Redis يحصله مشكلة، لكنه بيفتح نافذة للـ abuse في الـ 30 ثانية اللي Redis يكون فيها down. لو الـ API بتاعك حساس (payment, auth, password reset)، اعمل fail-closed وارجع 503. الـ trade-off واضح: availability ضد security، واختار حسب طبيعة الـ endpoint.
  3. per-user مقابل per-IP: استخدام req.ip لوحده بيظلم المستخدمين ورا NAT (university wifi، corporate networks، mobile carriers)—ممكن آلاف المستخدمين يبانوا بنفس الـ IP. استخدام userId لوحده بيظلم المستخدمين قبل ما يـ login. الحل العملي: composite key (userId || ip) مع capacities مختلفة—مثلاً 50/min للـ anonymous، 200/min للـ authenticated، 2,000/min للـ paid tier.
  4. cost variation: مش كل request بنفس "الثمن" على الـ backend. GET /api/feed رخيص جداً، POST /api/upload بياكل bandwidth و CPU بشدة، POST /api/ai-generate بياخد ثواني ويكلّفك tokens من LLM provider. الـ algorithm بيدعم cost متغيّر (بترجعه من الـ middleware حسب الـ route)، لكن لازم تختار الأرقام بحرص. لو UPLOAD = 10 tokens والـ capacity = 100، ممكن المستخدم يعمل 10 uploads متتاليين ويفضى الـ bucket تماماً.

متى لا تستخدم هذه الطريقة

Token Bucket ممتاز لـ APIs اللي عندها traffic patterns متنوعة وعايز fairness ذكية. لكنه مش الاختيار الصح في الحالات دي:

  • الـ API بتاعك internal-only ومفيش abuse traffic أصلاً. الـ overhead هنا أكبر من القيمة. استخدم circuit breaker (بـ opossum أو زيه) بدل rate limiter.
  • محتاج fairness صارم queue-based. Token Bucket بيرفض الطلبات الزيادة مباشرة. لو لازم تخدمهم بترتيب (مثلاً ML inference jobs)، استخدم queue حقيقي + worker pool (BullMQ، PostgreSQL SKIP LOCKED).
  • الـ traffic ثابت ومستقر (مثلاً IoT sensors بترسل reading كل 5 ثوان بالضبط). Fixed window أبسط وأرخص في الحالة دي ومش هتلاقي boundary spike لأن الـ pattern معروف.
  • عندك CDN أو WAF قدامك (Cloudflare، AWS WAF، Fastly) بـ rate limiting رولز مدفوعة فعلاً. حط الـ limiter في الـ edge بدل الـ origin علشان توفر network resources وما توصلش الإساءة لسيرفرك أصلاً. استخدم Token Bucket داخلياً بس للحالات اللي محتاج فيها logic مخصّص (cost variation، tier-based limits).

الخطوة التالية

افتح الـ API بتاعك دلوقتي وفتّش على أي middleware express-rate-limit أو fastify-rate-limit in-memory. لو لقيت واحد شغّال في multi-instance deployment، انت فعلياً ما عندكش rate limiting حقيقي—انت عندك 3 limiters منفصلين بيخدعوا بعض. استبدله بالكود فوق في فرع منفصل، شغّل ab benchmark بنفس الـ parameters قبل وبعد، وقارن الأرقام في X-RateLimit-Remaining header. لو لقيت 429 false positive rate يفرق عن بعض حتى بـ 1%، عندك حالة قوية للـ migration الكاملة.

لو محتاج تشوف الـ algorithm شغّال under chaos (Redis تموت في النص، clock skew، network partitions)، أضف Toxiproxy في الـ stack بتاعك واستخدم الـ scenarios اللي اتشرحت في Google SRE Book الفصل 17 (Testing for Reliability).

المصادر

  • ATM Forum, "Traffic Management Specification Version 4.0", AF-TM-0056.000, April 1996 (الـ algorithm الأصلي).
  • RFC 2697 — "A Single Rate Three Color Marker" (J. Heinanen, R. Guerin, IETF, September 1999).
  • RFC 2698 — "A Two Rate Three Color Marker" (J. Heinanen, R. Guerin, IETF, September 1999).
  • Redis Documentation — "Programmability with Lua" و "EVAL Atomicity Guarantees" (redis.io/docs/latest/develop/interact/programmability).
  • Beyer, Jones, Petoff, Murphy — "Site Reliability Engineering: How Google Runs Production Systems"، الفصل 21: Handling Overload، O'Reilly 2016.
  • Paul Tarjan — "Scaling your API with rate limiters"، Stripe Engineering Blog، 2017.
  • توثيق ioredis 5.x الرسمي — github.com/redis/ioredis.
  • Cloudflare Blog — "How we built rate limiting capable of scaling to millions of domains" (2017).

هل استفدت من المقال؟

اطّلع على المزيد من المقالات والدروس المجانية من نفس المسار المعرفي.

تصفّح المدونة