API网关限流测试：配额、突刺和降级

2025年11月记录，分类「性能测试」。这里不追求大而全，主要记录一个测试点从发现到落地的过程。

限流目标

网关限流测试要确认两个问题：该拦的流量能拦住，正常用户不会被误伤。

整理时我特意把输入、动作、观察点和风险拆开，方便后面补用例。

测试场景

• 分别验证单用户、单 IP、单租户和全局配额。
• 用短时间突刺请求观察限流触发点。
• 限流后检查错误码、响应文案和降级策略。

seq 1 200 | xargs -n1 -P50 -I{} curl -s -o /dev/null -w '%{http_code}\n' https://api.example.com/orders

观测指标

• 限流阈值和配置一致。
• 被限流请求不会打到后端核心服务。
• 恢复窗口后正常请求能恢复。

我一般会把这部分同步到缺陷模板里，让开发能直接看到复现材料和判断依据。

结论

限流不是简单返回 429，它关系到系统保护和用户体验的平衡。真正有价值的不是这一次解决了什么，而是下次能不能更快定位同类问题。