sub2api/openspec/changes/update-rate-limit-ttl-atomic/design.md

Context

限流中间件当前采用 INCR 后 EXPIRE 的两步操作，且未处理 EXPIRE 失败，导致计数 key 可能没有过期时间。该情况一旦发生，计数会持续累加，触发长期限流并造成 Redis key 膨胀。

Goals / Non-Goals

• Goals:
  • 原子化 Redis 计数与过期设置
  • 修复 TTL 缺失的历史 key
  • 支持按接口配置 Redis 故障策略（fail-open/fail-close）
  • 为需要强制保护的接口启用 fail-close
• Non-Goals:
  • 改变现有固定窗口限流算法
  • 调整限流 key 格式或前缀
  • 引入新的外部依赖

Decisions

• 使用 Lua 脚本在 Redis 内部原子执行 INCR、TTL 与 PEXPIRE
• 过期时间统一采用毫秒精度窗口（window.Milliseconds() 向下取整）以保持精度一致
• 当毫秒窗口小于 1 时，按 1ms 设置过期，避免 0 导致立即过期
• 当 count == 1 或 TTL == -1 时设置过期，避免刷新已有 TTL
• 新增 RateLimitOptions 并提供 LimitWithOptions，由调用方显式配置故障策略
• Limit 默认使用 fail-open 以保持兼容
• 当 fail-close 生效时，Redis 执行失败直接返回 429

Alternatives considered

• 使用 MULTI/EXEC 事务封装 INCR + EXPIRE：原子性可保证，但无法在同一事务内便捷修复 TTL == -1，且仍需额外判断逻辑
• 使用 SET + EX/NX 组合：无法保留计数累加语义

Risks / Trade-offs

• Lua 脚本会带来轻微 CPU 开销，但可接受
• TTL 修复会在首次访问时设定过期，可能缩短历史脏 key 的“无限期”状态，这是期望的修复效果

Migration Plan

• 上线后脚本在请求路径上自动修复 TTL 缺失的 key
• 如需回滚，恢复原有两步命令即可

Open Questions

• 无