很多人会把风控和限流当成一回事,但两者只是在某些场景里有交集。限流更偏向系统保护,风控更偏向识别异常行为和资源滥用。
限流关注的是流量强度
它主要回答“请求太多怎么办”,核心是保护服务稳定性,例如按接口、用户、IP 或租户设置阈值。
风控关注的是行为可信度
它更在意“这个请求像不像正常用户”,会结合设备、账号、频次、地域、操作轨迹等多维信息做判断,不只是数请求次数。
秒杀场景里两者通常要配合
只有限流,可能挡不住精细化刷单;只有风控,又可能在流量洪峰时把系统拖垮。两者结合,才能同时兼顾稳定性和业务安全。
落地时要注意误杀和放过
风控规则过严会伤到真实用户,过松又挡不住黑产;限流阈值过低会误伤正常高峰,过高则起不到保护作用。
结论
理解风控和限流的关系时,先把“系统保护”和“异常识别”这两个目标分开看,再谈它们如何协同。
正文完




