PHP访问频率管控系统使用文档

一、系统概述

该系统是一套基于PHP原生开发的访问频率管控解决方案，核心实现「IP+Session双重校验」「动态时段阈值」「弹窗校验+恶意行为拉黑」全流程管控，可有效防止恶意高频访问、刷接口等行为，适配单机/小型集群场景，无需依赖第三方组件，开箱即用。

核心功能清单

功能模块	核心能力
IP维度管控	基于真实IP隔离访问状态，防止单IP多Session绕过限制
动态阈值	按高峰/平峰/低峰时段自动匹配不同访问阈值
分层校验	未校验严格限流→触发弹窗→校验通过提升阈值→二次超限封禁
恶意行为拉黑	弹窗校验错误次数耗尽/弹窗期间高频刷新→直接拉黑IP
状态自动清理	Session有效期管控，自动回收过期IP数据，避免性能损耗

二、部署与环境要求

1. 环境要求

PHP版本：≥5.6（推荐7.4+）
扩展依赖：无需额外扩展（Session、时间函数为PHP内置）
服务器环境：Apache/Nginx/IIS均可，需开启Session支持
适配场景：单机部署（集群需将Session迁移至Redis）

2. 部署步骤

将完整代码保存为.php文件（如access_control.php），上传至PHP运行环境目录；
直接访问该文件URL即可生效（无需数据库配置、无需额外依赖）；
（可选）若需集成到现有业务，将核心管控逻辑复制到业务页面头部即可。

3. 部署代码

此处内容需要评论回复后方可阅读。

三、核心配置说明

所有可配置项集中在代码顶部$config数组，按需调整即可，关键配置说明如下：

$config = [
    // 基础管控时长
    'ban_time'         => 300,        // 普通封禁时长（秒），默认5分钟
    'blacklist_time'   => 3600,       // 恶意拉黑时长（秒），默认1小时
    // 校验相关配置
    'verify_fail_limit'=> 5,          // 校验失败最大次数（超限拉黑）
    'popup_refresh_limit' => 10,      // 弹窗期间无校验刷新阈值（超限拉黑）
    'popup_refresh_time' => 60,       // 弹窗刷新统计窗口（秒）
    // 动态时段阈值规则（可新增/修改时段）
    'dynamic_rules'    => [
        // 高峰时段（示例：09:00-12:00）
        [
            'start_time' => '09:00',          // 时段开始时间（24小时制）
            'end_time'   => '12:00',          // 时段结束时间
            'unverified_limit' => 3,          // 未校验状态访问阈值（次）
            'unverified_time'  => 60,         // 未校验时间窗口（秒）
            'verified_limit'   => 15,         // 校验通过后访问阈值（次）
            'verified_time'    => 60,         // 校验通过时间窗口（秒）
        ],
        // 可新增/删除时段规则，按数组顺序优先匹配
    ]
];

4. 相关截图展示，（注意验证码什么的需要自己替换成动态的）

配置调整建议

高峰时段（如09:00-12:00、14:00-18:00）：降低unverified_limit（如3次），严控未校验访问；
低峰时段（如22:00-09:00）：提高unverified_limit（如8次），提升用户体验；
高安全需求场景：缩短popup_refresh_time（如30秒）、降低popup_refresh_limit（如5次），严控恶意刷新；
测试环境：可将ban_time/blacklist_time设为10秒，便于快速验证逻辑。

四、功能使用与验证

1. 正常访问流程

访问页面→系统识别IP+当前时段→未触发阈值→展示正常内容；
多次刷新→达到「未校验阈值」→弹出校验弹窗；
输入正确校验码（测试码：1234）→校验通过→提升访问阈值→正常访问；
校验通过后再次高频访问→达到「已校验阈值」→触发普通封禁（5分钟）。

2. 恶意行为管控验证

恶意行为	触发条件	管控结果
校验码多次错误	连续输入错误码≥5次	IP被拉黑1小时
弹窗期间高频刷新	弹窗展示后无校验提交，60秒内刷新≥10次	IP被拉黑1小时
普通高频访问	校验通过后仍超限	普通封禁5分钟

3. 页面展示信息说明

正常访问页：展示当前IP、时段、访问状态、已访问次数/阈值；
封禁页：展示封禁IP、剩余解封时间；
拉黑页：展示拉黑IP、剩余拉黑时间；
校验弹窗：展示IP、剩余尝试次数、剩余可刷新次数。

五、扩展与定制开发

1. 替换真实校验逻辑（核心优化）

当前为模拟校验（固定码1234），建议替换为图形验证码/滑块验证，步骤如下：

集成PHP GD库生成图形验证码，将验证码存储到Session；
修改POST校验逻辑：对比用户输入码与Session中存储的验证码；
移除固定校验码1234，实现动态验证码校验。

2. 适配集群场景

单机Session无法跨节点共享，集群部署需将Session迁移至Redis：

安装PHP Redis扩展；

修改Session存储方式：

// 代码开头添加
ini_set('session.save_handler', 'redis');
ini_set('session.save_path', 'tcp://127.0.0.1:6379');

所有IP相关状态将存储到Redis，实现跨节点共享。

3. 新增IP白名单

在getRealIp()函数后添加白名单逻辑：

// 定义白名单IP数组
$whiteList = ['192.168.1.100', '127.0.0.1'];
if (in_array($realIp, $whiteList)) {
    // 白名单IP直接放行，跳过所有管控逻辑
    echo "白名单IP访问";
    exit;
}

4. 日志持久化

如需记录访问/封禁/拉黑日志，可在对应逻辑处添加日志写入：

// 示例：拉黑时记录日志
$logContent = date('Y-m-d H:i:s') . " - IP:{$realIp} - 拉黑原因：弹窗刷新超限\n";
file_put_contents('access_blacklist.log', $logContent, FILE_APPEND);

六、常见问题排查

1. IP识别错误

现象：封禁/拉黑IP非真实客户端IP；
原因：服务器部署了反向代理/CDN，未获取到真实IP；
解决：getRealIp()函数已兼容常见代理场景，若仍错误，补充对应代理头（如HTTP_X_REAL_IP）。

2. 跨天时段阈值不生效

现象：22:00-09:00时段阈值未按配置生效；
原因：服务器时间与本地时间不一致；
解决：同步服务器系统时间，确保date()函数返回正确时间。

3. Session数据累积过多

现象：服务器Session文件过多/Redis内存占用高；
解决：已配置session.gc_maxlifetime=7200秒，系统会自动清理2小时过期数据，无需手动处理。

七、核心逻辑流程图

graph TD
    A[用户访问] --> B{获取真实IP}
    B --> C{是否拉黑}
    C -- 是 --> D[展示拉黑提示]
    C -- 否 --> E{是否普通封禁}
    E -- 是 --> F[展示封禁提示]
    E -- 否 --> G{匹配动态时段阈值}
    G --> H{是否触发未校验阈值}
    H -- 否 --> I[正常访问]
    H -- 是 --> J{弹窗期间是否高频刷新}
    J -- 是 --> K[拉黑IP]
    J -- 否 --> L[展示校验弹窗]
    L --> M{校验是否通过}
    M -- 否 --> N{失败次数是否超限}
    N -- 是 --> K
    N -- 否 --> L
    M -- 是 --> O[提升访问阈值]
    O --> P{是否触发已校验阈值}
    P -- 是 --> F
    P -- 否 --> I