Di mana dan bagaimana Anda mengonfigurasi rate limiting?

Question

Accepted Answer

Rate limiting membatasi berapa banyak permintaan yang dapat dibuat klien dalam jendela waktu tertentu. Anda menerapkannya di **berbagai lapisan** karena masing-masing melihat sesuatu yang berbeda, dan Anda mengidentifikasinya berdasarkan **apa pun yang mengidentifikasi penyalahguna**.

## Di mana mengonfigurasinya

- **Edge / CDN** — garis pertahanan pertama, sebelum lalu lintas sampai ke Anda. Paling murah untuk diterapkan (penyerang tidak pernah menyentuh origin Anda) tetapi kasar, biasanya diidentifikasi berdasarkan IP.
- **Reverse proxy** (nginx, Envoy) — melindungi origin dari banjir yang melewati CDN, dengan kontrol halus atas zona dan ledakan.
- **Application layer** — lapisan paling cerdas: ia mengenal **pengguna, API key, atau token**, sehingga dapat menerapkan kuota per-akun dan melindungi operasi bisnis yang mahal yang tidak dapat dilihat proxy.

## Cara mengidentifikasi dan membentuknya

- **Identifikasi berdasarkan** IP (anonim), API key (mitra), atau pengguna yang terautentikasi (keadilan per-akun).
- **Token bucket vs leaky bucket** — token bucket memungkinkan **ledakan** singkat dengan mengakumulasi token, kemudian menetap; leaky bucket memuluskan ke laju konstan. Sebagian besar API menginginkan token bucket sehingga ledakan sah tidak dihukum.
- **Pilih batas dari baseline + headroom** — ukur puncak normal per klien, kemudian atur cap dengan nyaman di atasnya sehingga pengguna nyata tidak pernah mencapainya.
- **Kembalikan `429 Too Many Requests` dengan `Retry-After`** sehingga klien mundur dengan baik daripada terus mengirim permintaan.

## Contoh: nginx limit_req

```nginx
# Define a shared-memory zone keyed by client IP.
# rate=10r/s = the steady refill rate (token bucket).
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

server {
    location /api/ {
        # burst=20: allow a short spike of 20 queued requests
        # nodelay: serve the burst immediately instead of spacing it out
        limit_req zone=api burst=20 nodelay;

# Return 429 (not the default 503) so clients see a rate-limit signal
        limit_req_status 429;

proxy_pass http://backend;
    }
}
```

Di sini setiap IP diisi ulang pada 10 permintaan/detik, dapat melonjak hingga 20, dan apa pun di luar itu mendapat `429`.

## Mengapa ini penting

Rate limiting adalah pertahanan termurah dan selalu aktif Anda terhadap banjir Layer 7, credential stuffing, dan scraper yang tidak terkontrol. Melapisnya (edge untuk volume, proxy untuk origin, app untuk logika bisnis) dan mengidentifikasinya dengan benar menghentikan penyalahguna sementara pengguna nyata — dan ledakan sah — lolos. Menetapkan batas dari baseline nyata adalah yang membuat peraturan ini tidak menjadi pemadaman dari pembuatan Anda sendiri.