Zurück zur Übersicht

Begriff

Rate Limiting

API Security S1
2 Quellen 1 Lernpfad 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Stell dir eine Drehtür am Eingang vor. Wenn 1000 Leute gleichzeitig durch wollen, klemmt sie. Der Türsteher sagt: "Stopp! Nur 1 Person pro Sekunde." Das ist Rate Limiting. Es schützt deinen Server davor, von zu vielen Anfragen (DDoS oder einfach Erfolg) überrannt zu werden. Es garantiert Fairness: Ein aggressiver User darf nicht alle Ressourcen klauen, sodass für andere nichts übrig bleibt ("Noisy Neighbor Problem"). Antwort bei Blockierung: 429 Too Many Requests.

Merksatz: Eine Technik zur Begrenzung der Anzahl von Anfragen, die ein Client innerhalb eines bestimmten Zeitraums an eine API oder einen Dienst senden darf.


Quick-Check

  1. Unterschied zu Quota?
    Rate Limit schützt den Server vor Spitzen ("10 req/s"). Quota ist ein Business-Limit ("10.000 req/Monat"). Quota ist "Billing", Rate Limit ist "Engineering".
  2. IP vs User ID?
    Limitiere immer pro User ID (API Key), wenn möglich. IP-Limiting ist unfair für Leute hinter einem Firmen-NAT (1000 Leute teilen sich 1 IP -> alle geblockt). Nutze IP nur als Fallback für nicht eingeloggte User.
  3. Shadow Banning?
    Statt 429 zu senden, machst du die Antworten für den Spammer künstlich langsam (10 Sekunden Delay). Das frustriert Angreifer, ohne dass sie wissen, warum ("Tarpitting").