Rate limiting (ograniczanie częstotliwości żądań) to technika stosowana w sieciach komputerowych i aplikacjach, która polega na kontrolowaniu oraz ograniczaniu liczby żądań (np. zapytań HTTP, prób logowania), jakie dany użytkownik, adres IP lub inny identyfikator może wysłać do serwera w określonym przedziale czasowym. Celem tego mechanizmu jest zapobieganie przeciążeniom usług, ochrona przed atakami typu Denial of Service (DoS) oraz ograniczanie automatyzowanych, masowych działań, takich jak credential stuffing czy brute force.
Dzięki rate limitingowi można ustawić np. limit do 5 prób logowania z jednego adresu IP na minutę. Po przekroczeniu tego limitu kolejne próby są automatycznie blokowane lub opóźniane, co znacząco utrudnia przeprowadzenie skutecznego ataku. Zapobiega to też sytuacjom, w których pojedynczy użytkownik lub skrypt błędnie działający nadmiernie obciąża serwer, zapewniając stabilność i dostępność usługi dla pozostałych użytkowników.
Rate limiting można stosować na różnych poziomach:
- ograniczenie na podstawie adresu IP (najprostsze i najczęstsze podejście),
- na poziomie użytkownika (konta lub klucza API),
- globalne ograniczenie całej aplikacji lub usługi.
Techniki te często są łączone z innymi mechanizmami bezpieczeństwa, takimi jak CAPTCHA czy wykrywanie botów, aby skuteczniej chronić zasoby sieciowe przed nadużyciami. Rate limiting jest pierwszą linią obrony przed przeciążeniem serwerów, nadużyciami ze strony użytkowników czy botów oraz przed wieloma typami automatycznych ataków cybernetycznych.
