Per un'API stabile e prevedibile, è importante non solo scalare, ma anche controllare il numero di richieste. Implementiamo un rate limiting flessibile che consente di impostare limiti basati su API, user ID o IP. Questo protegge il sistema dagli abusi, dai sovraccarichi e offre la possibilità di garantire SLA a ogni cliente.
Come funziona il rate limiting
| Approccio | Cosa controlla |
|---|---|
| In chiave API | Limite di richiesta da un integratore o da un'applicazione |
| Per User ID | Limite personalizzato per utente (ad esempio, un'applicazione mobile) |
| Indirizzo IP | Protezione da spam o DDoS a livello IP |
| Per endpoint/metodo | Possibilità di limitare i metodi sensibili (ad esempio search, write) |
Impostazioni e funzioni
Supporto dei limiti: RPS, RPM, RPH (richieste al secondo/minuto/ora)
Sliding window, fissed window, token bucket e algoritmi leaky bucket
Restituzione del codice 429 e messaggio di errore personalizzato
Sblocco automatico per timer
Metriche: colli di superamento, token al limite, frequenza di scarico
Vantaggi aziendali
Protezione da sovraccarichi e attacchi DoS
Riduzione dei costi di infrastruttura
Controllo della qualità delle integrazioni da parte dei clienti
Rilevamento di attività anomale e possibili vulnerabilità
Possibilità di selezionare utenti VIP con limiti separati
Dove è particolarmente importante
API per le transazioni finanziarie
Piattaforme di gioco con frequenti attività utente
Servizi di e-commerce ad alta frequenza di filtraggio e ricerca
API pubbliche e soluzioni open platform
Rate limiting è il controllo, la sicurezza e la qualità dell'API. Implementiamo vincoli puntuali che proteggono l'infrastruttura e forniscono prestazioni prevedibili sotto qualsiasi carico di lavoro.