Rate Limiting.

Le rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.

Le rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force.

Le rate limiting est un controle de mise en forme du trafic qui impose un maximum de requetes par identifiant et par intervalle, retournant 429 Too Many Requests ou mettant en file une fois le budget consomme. Les algorithmes courants : token bucket (tolerant aux rafales, debit stable), leaky bucket (lisse les rafales en sortie constante), fixed window (simple mais avec pics aux frontieres) et sliding window (plus precis, un peu plus couteux). Les API gateways, CDN et WAF modernes appliquent des limites multi-cles (par IP, utilisateur, token, endpoint) et les combinent avec gestion de bots et defenses contre le credential stuffing. C'est la premiere ligne de defense la moins chere contre scraping, enumeration, brute-force login et tempetes de re-essais.

Les défenses contre Rate Limiting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Throttling, Limite d'API.