Ein API Rate Limit ist wie eine Türsteher-Regel an einem stark frequentierten Club: “Pro Minute dürfen maximal so und so viele Gäste herein, alles Weitere muss warten.” Übertragen auf eine API bede...
Was steckt dahinter?
Ein API Rate Limit ist wie eine Türsteher-Regel an einem stark frequentierten Club: “Pro Minute dürfen maximal so und so viele Gäste herein, alles Weitere muss warten.” Übertragen auf eine API bedeutet das, dass jeder einzelne Nutzer oder jede einzelne Anwendung innerhalb eines bestimmten Zeitfensters nur eine begrenzte Anzahl an Anfragen stellen darf. Solche Limits schützen Server vor Überlastung, sei es durch versehentlich fehlerhaften Code, der in einer Endlosschleife immer wieder dieselbe Anfrage abschickt, oder durch absichtliche Angriffe wie automatisiertes Massenausprobieren bei einem Brute-Force-Versuch. Wird das Limit überschritten, antwortet die API meist mit dem speziellen Statuscode `429 Too Many Requests` und teilt häufig mit, nach welcher Wartezeit erneut versucht werden darf. Aus Entwicklersicht ist es wichtig, beim Aufbau eigener Anwendungen, die eine fremde API nutzen, das jeweilige Rate Limit zu kennen und einzuhalten – etwa durch geschicktes Zwischenspeichern (Caching) von Ergebnissen oder durch das Bündeln mehrerer Anfragen, statt jede Information einzeln und sofort abzufragen. Wer selbst eine API anbietet, sollte umgekehrt von Anfang an ein sinnvolles Rate Limit einplanen, um die eigene Infrastruktur abzusichern, ohne legitime Nutzer unnötig auszubremsen.