Rate Limiting Voorbeelden - Inspiratie & Best Practices

Rate limiting beperkt het aantal verzoeken dat een client binnen een bepaalde periode kan doen. Het beschermt uw API tegen misbruik, voorkomt overbelasting van backend-services en garandeert eerlijk gebruik voor alle klanten. Van simpele token buckets tot complexe sliding window-algoritmen — de juiste rate limiting strategie hangt af van uw use case, schaaleisen en gebruikerspatronen. Hieronder laten we zien hoe verschillende platformen rate limiting effectief implementeren.

Publieke API met tiered rate limits

Een data-provider implementeerde gedifferentieerde rate limits op basis van het abonnementsniveau van API-consumenten. Free tier klanten mogen 100 verzoeken per minuut doen, Pro tier 1.000 en Enterprise tier 10.000. Een sliding window log-algoritme telt verzoeken nauwkeurig over een glijdend tijdsvenster. Response headers (X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset) geven clients inzicht in hun gebruik en resterende quota.

• Sliding window log-algoritme voor nauwkeurige verzoektelling
• Gedifferentieerde limieten per abonnementsniveau (tier)
• Standaard rate limit response headers voor client-informatie
• Graceful degradation met 429 Too Many Requests en Retry-After header

Authenticatie-endpoint met brute-force bescherming

Een fintech platform implementeerde agressieve rate limiting op login-endpoints om brute-force aanvallen te voorkomen. Na 5 mislukte pogingen per IP-adres wordt het IP voor 15 minuten geblokkeerd. Na 10 mislukte pogingen per account wordt het account tijdelijk vergrendeld en de eigenaar genotificeerd. Een progressive delay verhoogt de wachttijd exponentieel na elke mislukte poging, waardoor geautomatiseerde aanvallen onpraktisch worden.

• IP-gebaseerde throttling na herhaalde mislukte loginpogingen
• Account-level lockout met automatische notificatie aan eigenaar
• Progressive delay met exponentiële backoff per mislukte poging
• Captcha-challenge na verdachte patronen vóór lockout

GraphQL API met complexity-based limiting

Een GraphQL API implementeerde rate limiting op basis van query-complexiteit in plaats van het aantal verzoeken. Elke query wordt geanalyseerd en krijgt een complexity-score op basis van geneste velden, lijstlengtes en joins. Gebruikers hebben een complexity-budget per minuut: een eenvoudige query kost 1 punt, een deep-nested query met meerdere relaties 50 punten. Dit voorkomt dat een enkele complexe query de server overbelast terwijl eenvoudige queries vrij doorstromen.

• Complexity-scoring per GraphQL query op basis van nesting en velden
• Complexity-budget per minuut in plaats van verzoektelling
• Query depth limiting als aanvullende bescherming tegen abuse
• Persisted queries voor vooraf goedgekeurde query-patronen

Webhook delivery met retry-aware throttling

Een integratie-platform verstuurt webhooks naar duizenden eindpunten van klanten. Rate limiting aan de afzenderzijde voorkomt dat een enkel eindpunt overspoeld wordt: maximaal 10 webhooks per seconde per endpoint. Bij een 429-response van het eindpunt schakelt het systeem over naar exponentieel backoff met jitter. Een circuit breaker stopt tijdelijk alle deliveries naar een endpoint dat herhaaldelijk faalt, en hervat automatisch na een cooldown-periode.

• Per-endpoint rate limiting aan de afzenderzijde
• Exponentieel backoff met jitter bij 429 responses
• Circuit breaker voor endpoints die herhaaldelijk falen
• Prioriteitswachtrij voor kritieke webhooks boven routine-events

CDN met DDoS-bescherming via rate limiting

Een contentplatform implementeerde multi-layer rate limiting als DDoS-bescherming. Op netwerkniveau beperkt een connection-rate limiter het aantal nieuwe TCP-verbindingen per IP. Op applicatieniveau beperkt een token bucket het aantal verzoeken per seconde. Verdacht verkeer wordt afgeleid naar een challenge-pagina. Gewhiteliste IP-ranges van bekende partners omzeilen de limieten, terwijl bekende botnets op een denylist staan.

• Multi-layer rate limiting op netwerk- en applicatieniveau
• Token bucket algoritme voor burst-tolerante verzoekslimitering
• Challenge-pagina voor verdacht verkeer vóór harde blokkering
• Allow/deny-lijsten voor bekende partners en botnets

Belangrijkste lessen

• Kies het juiste rate limiting algoritme voor uw use case: token bucket voor bursts, sliding window voor nauwkeurigheid.
• Gedifferentieerde limieten per abonnementsniveau stimuleren upgrades en beschermen uw platform.
• Standaard response headers geven clients de informatie om rate limits correct af te handelen.
• Brute-force bescherming op authenticatie-endpoints vereist agressievere limieten dan reguliere API-endpoints.
• Multi-layer rate limiting combineert netwerk- en applicatiebescherming voor optimale DDoS-weerstand.

Hoe MG Software kan helpen

MG Software implementeert rate limiting strategieën die uw API beschermen zonder legitieme gebruikers te hinderen. Van het ontwerpen van tier-gebaseerde limieten tot het implementeren van complexity-based GraphQL throttling en DDoS-bescherming — wij zorgen dat uw platform stabiel en veilig blijft onder alle omstandigheden.