HTTP/2 连接复用：高并发调参手册

HTTP/2 连接复用：高并发场景下的优化与注意事项 P50 延迟

围绕“HTTP/2 连接复用：高并发调参手册”，本文从业务风险、架构要点、落地流程与验收指标四个维度拆解，帮助你快速形成可执行的防护方案。

核心能力与落地要点

• 限流返回什么更合理：429、403、404 的取舍与影响：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。
• 缓存如何帮防护：热点页面的多级缓存设计：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。
• 同 IP 多路径压测：路径级别的限流与隔离策略：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。

源站保护要做“回源收敛”。最稳妥的方式是只允许 CDN/高防/代理出口回源，并把源站端口与管理端口都收敛到白名单访问；这样即使攻击者拿到源站域名也难以直打。

当你发现“拦截率提高但业务指标变差”，通常意味着策略过于激进或命中规则有误报。此时应优先回到观察模式，定位误杀路径，再针对性修正，而不是继续加严。

重放攻击经常被忽略。只做签名但不限制时间窗与请求唯一性，会让攻击者复用抓包请求实现重复下单、重复回调等问题。时间戳校验、nonce 与幂等键应该联合使用。

按接口分级限流是最容易落地的收益点：登录、注册、短信、搜索、下单等接口的承压能力差异很大。把热点接口单独限速，并给核心链路预留额度，能显著降低“被打就全站雪崩”的风险。

部署与验收清单

• 入口限速：Nginx/SLB 先限流，应用侧再做频控兜底。
• 应急预案：灰度开关、黑白名单与回滚策略提前演练。
• 持续优化：根据真实流量画像迭代规则，避免误伤与漏拦。
• 可观测性：建立访问日志、错误率、延迟与拦截率的监控面板。

常见问题

Q：如何避免“防护开得越狠越误伤”？

A：用指标驱动策略：先观测再收紧，优先做分层与限速，再逐步加入更细粒度规则。

Q：如何避免“防护开得越狠越误伤”？

A：用指标驱动策略：先观测再收紧，优先做分层与限速，再逐步加入更细粒度规则。