Cum proiectezi limitarea ratei de solicitări?

Question

Accepted Answer

**Limitarea ratei de solicitări** restricționează câte solicitări poate face un client într-o fereastră de timp — protejând sistemele de abuz, supraîncărcare și asigurând o utilizare echitabilă. Este o componentă comună în proiectarea sistemelor, cu mai mulți algoritmi și considerații.

## De ce limitarea ratei de solicitări

```text
✓ PROTECT against abuse → prevent attacks (brute force, scraping, DoS), excessive use
✓ PREVENT OVERLOAD → protect the system from being overwhelmed (stability)
✓ FAIR USAGE → ensure no single client monopolizes resources; tiered limits (free vs paid)
✓ COST control; protect downstream services
→ a common requirement for APIs and services.
```

## Algoritmi de limitare a ratei de solicitări

```text
FIXED WINDOW → count requests per fixed time window (e.g. 100/minute); simple
  ✗ allows bursts at window boundaries (up to 2x at the edges)
SLIDING WINDOW → rolling time window → smoother, no boundary bursts (more accurate)
TOKEN BUCKET → tokens refill at a rate; each request takes a token → allows BURSTS up to
  the bucket size while limiting the average rate (popular, flexible)
LEAKY BUCKET → requests processed at a steady rate (smooths output)
```

## Considerații de implementare

```text
✓ DISTRIBUTED → limits must be shared across servers → use a centralized store (REDIS is
  common: atomic counters, fast, shared across instances)
✓ Identify the client → by API key, user ID, IP
✓ Return clear responses → HTTP 429 (Too Many Requests); include limit/retry-after headers
✓ Where → at the API gateway, load balancer, or application layer
✓ Granularity → per user, per endpoint, global; different tiers/limits
```

## De ce este important

Înțelegerea modului de proiectare a limitării ratei de solicitări este valoroasă deoarece este o **componentă comună în proiectarea sistemelor** pentru protejarea sistemelor și asigurarea unei utilizări echitabile, deci este cunoaștere practică importantă.

Limitarea ratei de solicitări — restricționarea câtor solicitări poate face un client într-o fereastră de timp — abordează nevoi importante: **protejarea împotriva abuzului** (prevenirea atacurilor cum ar fi brute force, scraping și DoS), **prevenirea supraîncărcării** (protejarea stabilității sistemului), asigurarea unei **utilizări echitabile** (nici un client nu monopolizează resurse, sprijinind limite în niveluri cum ar fi gratuit vs plătit) și controlul costurilor.

Acestea fac limitarea ratei de solicitări o cerință comună pentru API-uri și servicii.

Înțelegerea **algoritmilor** și compromisurile lor — **fereastră fixă** (simplă dar permițând explozii la limite), **fereastră glisantă** (mai netedă și mai precisă), **găleată cu jetoane** (permițând explozii controlate în timp ce limitează rata medie — populară și flexibilă) și găleată cu scurgere (netezirea ieșirii) — este cunoașterea de design cheie, deoarece alegerea algoritmului potrivit afectează comportamentul.

Înțelegerea **considerațiilor de implementare** este deosebit de importantă: gestionarea **limitării ratei de solicitări distribuite** (limitele sunt împărțite pe mai multe servere, folosind în mod obișnuit **Redis** pentru contoare atomice rapide împărțite între instanțe — deoarece limitele per-server nu funcționează în sisteme distribuite), identificarea clienților (după cheie API, utilizator sau IP), returnarea unor răspunsuri clare (HTTP 429 cu anteturi retry-after), alegerea locului de aplicare (gateway, load balancer sau aplicație) și granularitate (per utilizator, per endpoint, pe niveluri).

Acestea reflectă proiectarea limitării ratei de solicitări care funcționează în sisteme distribuite reale.

Limitarea ratei de solicitări este o componentă des necesară, apărând frecvent în discuții despre proiectarea sistemelor și în interviuri.

Deoarece limitarea ratei de solicitări este o componentă comună și importantă pentru protejarea sistemelor (de abuz și supraîncărcare) și asigurarea unei utilizări echitabile, și deoarece înțelegerea algoritmilor, compromisurile lor și în special implementarea distribuită (limite împărțite via Redis) este importantă pentru proiectarea acesteia bine, înțelegerea modului de proiectare a limitării ratei de solicitări este cunoaștere valoroasă, relevant din punct de vedere practic în proiectarea sistemelor — o componentă comună pentru protejarea serviciilor și asigurarea unei utilizări echitabile, necesitând înțelegerea algoritmilor și implementării distribuite, și un subiect discutat frecvent în proiectarea sistemelor pentru construirea unor sisteme robuste și protejate.