Как вы проектируете ограничение частоты запросов?

Question

Accepted Answer

**Ограничение частоты запросов** (rate limiting) ограничивает количество запросов, которые клиент может сделать в течение определённого времени — защищая системы от злоупотреблений, перегрузок и обеспечивая справедливое использование. Это распространённый компонент при проектировании систем с несколькими алгоритмами и особенностями.

## Почему это важно

```text
✓ PROTECT against abuse → prevent attacks (brute force, scraping, DoS), excessive use
✓ PREVENT OVERLOAD → protect the system from being overwhelmed (stability)
✓ FAIR USAGE → ensure no single client monopolizes resources; tiered limits (free vs paid)
✓ COST control; protect downstream services
→ a common requirement for APIs and services.
```

## Алгоритмы ограничения частоты запросов

```text
FIXED WINDOW → count requests per fixed time window (e.g. 100/minute); simple
  ✗ allows bursts at window boundaries (up to 2x at the edges)
SLIDING WINDOW → rolling time window → smoother, no boundary bursts (more accurate)
TOKEN BUCKET → tokens refill at a rate; each request takes a token → allows BURSTS up to
  the bucket size while limiting the average rate (popular, flexible)
LEAKY BUCKET → requests processed at a steady rate (smooths output)
```

## Особенности реализации

```text
✓ DISTRIBUTED → limits must be shared across servers → use a centralized store (REDIS is
  common: atomic counters, fast, shared across instances)
✓ Identify the client → by API key, user ID, IP
✓ Return clear responses → HTTP 429 (Too Many Requests); include limit/retry-after headers
✓ Where → at the API gateway, load balancer, or application layer
✓ Granularity → per user, per endpoint, global; different tiers/limits
```

## Почему это важно

Понимание того, как спроектировать ограничение частоты запросов, ценно, потому что это **распространённый компонент при проектировании систем** для защиты систем и обеспечения справедливого использования, поэтому это важное практическое знание.

Ограничение частоты запросов — ограничение количества запросов, которые клиент может сделать в течение определённого времени — решает важные задачи: **защита от злоупотреблений** (предотвращение атак типа перебора, скрепинга и DDoS), **предотвращение перегрузок** (защита стабильности системы), обеспечение **справедливого использования** (ни один клиент не монополизирует ресурсы, поддержка многоуровневых ограничений типа free vs paid) и контроль затрат.

Это делает ограничение частоты запросов распространённым требованием для API и сервисов.

Понимание **алгоритмов** и их компромиссов — **фиксированное окно** (простой, но позволяющий всплески на границах), **скользящее окно** (более гладкое и точное), **токен-бакет** (позволяющий контролируемые всплески при ограничении средней скорости — популярный и гибкий) и протекающий бакет (сглаживание выхода) — это основное знание при проектировании, так как выбор правильного алгоритма влияет на поведение.

Понимание **особенностей реализации** особенно важно: обработка **распределённого ограничения частоты запросов** (ограничения, совместно используемые несколькими серверами, обычно используя **Redis** для быстрых атомарных счётчиков, совместно используемых между экземплярами — так как ограничения на одном сервере не работают в распределённых системах), идентификация клиентов (по ключу API, пользователю или IP), возврат понятных ответов (HTTP 429 с заголовками retry-after), выбор места применения (шлюз, балансировщик нагрузки или приложение) и гранулярность (по пользователю, по endpoint, многоуровневые).

Это отражает проектирование ограничения частоты запросов, работающего в реальных распределённых системах.

Ограничение частоты запросов — часто требуемый компонент, часто появляющийся в обсуждениях при проектировании систем и на собеседованиях.

Поскольку ограничение частоты запросов — распространённый, важный компонент для защиты систем (от злоупотреблений и перегрузок) и обеспечения справедливого использования, и поскольку понимание алгоритмов, их компромиссов и особенно распределённой реализации (совместные ограничения через Redis) важно для хорошего проектирования, понимание того, как спроектировать ограничение частоты запросов, — ценное, практически актуальное знание при проектировании систем — распространённый компонент для защиты сервисов и обеспечения справедливого использования, требующий понимания алгоритмов и распределённой реализации, и часто обсуждаемая тема при проектировании систем для создания надёжных защищённых систем.