Rate limiting для публичных API: токены, скользящие окна и UX клиентов

Алгоритмы

Фиксированное окно прост, но даёт пики на границе. Скользящее или token bucket сглаживает нагрузку.

Идентификация

API keys привязывают лимит к клиенту; IP-only ломается за NAT. Комбинируйте сигналы осторожно.

Ответы

Ясные заголовки лимита и retry-after снижают шторм повторов. Документируйте политику в openapi.

Итог

Лимиты защищают и клиентов, и инфраструктуру. Тестируйте под нагрузкой до продакшена.