Πού και πώς διαμορφώνετε το περιορισμό ταχύτητας;

Question

Accepted Answer

Ο περιορισμός ταχύτητας περιορίζει πόσα αιτήματα μπορεί να κάνει ένας πελάτης σε ένα χρονικό παράθυρο. Το εφαρμόζετε σε **πολλαπλά επίπεδα** επειδή κάθε επίπεδο βλέπει κάτι διαφορετικό, και το κλειδώνετε με **ό,τι αναγνωρίζει τον κακοχρήστη**.

## Πού να το διαμορφώσετε

- **Edge / CDN** — η πρώτη γραμμή άμυνας, πριν ο traffic φτάσει σε εσάς. Φθηνότερο να εφαρμοστεί (ο επιτιθέμενος δεν αγγίζει ποτέ την αρχή σας) αλλά χονδροειδώς, συνήθως κλειδωμένο με IP.
- **Reverse proxy** (nginx, Envoy) — προστατεύει την αρχή από πλημμύρες που περνούν το CDN, με λεπτό έλεγχο στις ζώνες και τις εκρήξεις.
- **Επίπεδο εφαρμογής** — το πιο έξυπνο επίπεδο: γνωρίζει τον **χρήστη, το κλειδί API ή το token**, επομένως μπορεί να εφαρμόσει ποσοστώσεις ανά λογαριασμό και να προστατεύσει δαπανηρές επιχειρηματικές λειτουργίες που το proxy δεν μπορεί να δει.

## Πώς να το κλειδώσετε και να το διαμορφώσετε

- **Κλειδώστε με** IP (ανώνυμο), κλειδί API (συνεργάτες), ή αυθεντικοποιημένο χρήστη (δικαιοσύνη ανά λογαριασμό).
- **Token bucket εναντίον leaky bucket** — το token bucket επιτρέπει σύντομες **εκρήξεις** συσσωρεύοντας tokens, στη συνέχεια σταθεροποιείται. leaky bucket εξομαλύνει σε σταθερό ρυθμό. Τα περισσότερα API θέλουν token bucket ώστε οι νόμιμες εκρήξεις να μην τιμωρούνται.
- **Επιλέξτε όρια από baseline + headroom** — μετρήστε το κανονικό peak ανά πελάτη, στη συνέχεια ορίστε το όριο άνετα πάνω από αυτό, ώστε οι πραγματικοί χρήστες να μην το χτυπούν ποτέ.
- **Επιστροφή `429 Too Many Requests` με `Retry-After`** ώστε οι πελάτες να υποχωρήσουν ευγενικά αντί να χτυπούν συνεχώς.

## Παράδειγμα: nginx limit_req

```nginx
# Define a shared-memory zone keyed by client IP.
# rate=10r/s = the steady refill rate (token bucket).
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

server {
    location /api/ {
        # burst=20: allow a short spike of 20 queued requests
        # nodelay: serve the burst immediately instead of spacing it out
        limit_req zone=api burst=20 nodelay;

# Return 429 (not the default 503) so clients see a rate-limit signal
        limit_req_status 429;

proxy_pass http://backend;
    }
}
```

Εδώ κάθε IP ξανατροφοδοτείται με 10 αιτήματα/δευτερόλεπτο, μπορεί να εκραγεί έως 20, και ό,τι είναι πέρα από αυτό λαμβάνει `429`.

## Γιατί είναι σημαντικό

Ο περιορισμός ταχύτητας είναι η φθηνότερη, πάντα ενεργή άμυνα σας κατά των πλημμυρών Layer 7, της συμπλήρωσης διαπιστευτηρίων και των εκτρεμάδων scrapers. Η στρωμάτωσή του (edge για τον όγκο, proxy για την αρχή, εφαρμογή για την επιχειρηματική λογική) και η σωστή κλειδώματα σταματούν τους κακοχρήστες ενώ οι πραγματικοί χρήστες — και οι νόμιμες εκρήξεις — περνούν ανεπηρέαστοι. Η ορθή ρύθμιση των ορίων από πραγματικά baselines είναι αυτό που το εμποδίζει να γίνει ένας πολυώνυμος της δικής σας κατασκευής.