node.js + express项目，API被恶意盗刷，求解决方案

问题描述

node.js项目API被恶意盗刷，导致系统正常流量无法访问！

问题出现的环境背景及自己尝试过哪些方法

环境：node.js + express + mysql + pm2 + nginx
有了解过令牌桶算法和漏桶算法，但是不知道该如何运用到项目中去

相关代码

粘贴代码文本（请勿用截图）

api被恶意盗刷，导致系统正常流量无法访问

你期待的结果是什么？实际看到的错误信息又是什么？

曾经在一家公司呆过，当时公司的后端也遇到过同样的问题；后来实现的效果是，如果一个ip在范围时间内访问同一个接口超过指定的次数（比如每秒4次）则丢弃此次请求，不做处理。当时后端使用的是java，请问node能否实现这种机制？或者有更好的处理方案？