API 速率限制 (Rate Limiting) 是一种控制客户端在特定时间窗口内可以发送的 API 请求数量的机制。当客户端超过允许的请求频率时,服务器返回 HTTP 429 (Too Many Requests) 状态码,拒绝处理额外的请求。
速率限制的主要目的包括:防止 API 滥用和恶意攻击 (如 DDoS)、确保服务对所有用户的公平可用性、保护后端系统免受过载、以及控制运营成本。常见的速率限制算法包括固定窗口、滑动窗口、令牌桶和漏桶算法。欢迎参阅在 Amazon 搜索 API 设计书籍。
在 URL 缩短服务中,速率限制应用于多个层面:链接创建 API (防止批量创建垃圾链接)、重定向端点 (防止 DDoS 攻击)、以及分析数据查询 API (防止数据抓取)。
良好的速率限制实现应该在响应头中包含限制信息:X-RateLimit-Limit (允许的最大请求数)、X-RateLimit-Remaining (剩余请求数) 和 X-RateLimit-Reset (限制重置时间)。这帮助客户端合理调整请求频率。在 Amazon 搜索系统设计书籍讨论了这些设计模式。