Назад до блогу

Rate limits і квоти в API: як захистити сервіс і не зламати інтеграції клієнтів

Як вводити rate limits: ліміти на ключ/тенант/ендпоїнт, 429 відповіді, backoff, квоти, SLO, sandbox і як допомогти інтеграторам дебажити проблеми.

20 трав. 2026 р.
Обговорити проєктПереглянути кейси

Ліміти — це UX для інтеграторів

Rate limit без правил і документації перетворюється на “API інколи не працює”. Правильні ліміти — це захист сервісу + передбачувана поведінка для клієнта.

1) Де ставити ліміти

  • Per API key / per tenant.
  • Окремо для “важких” ендпоїнтів (search/export).

2) Формат відповіді

429 + Retry-After, стабільний error.code, ідентифікатор ліміту. Дай інтегратору спосіб зрозуміти, що сталося.

3) Квоти і плани

Якщо є тарифи: квота/місяць, burst ліміти, окремі ліміти на write. Важливо: прозорий dashboard для клієнта.

4) Sandbox

Sandbox середовище з тестовими ключами і фейковими даними зменшує навантаження на підтримку і прискорює інтеграції.

Підсумок

Правильні rate limits — це договори, заголовки, документація і sandbox. Так ви захищаєте сервіс і допомагаєте інтеграторам будувати надійні клієнти.

Релевантні статті

Авторизація інтеграцій: API keys vs OAuth, scopes, ротація і як не “злити” доступ

Як зробити доступ до API безпечним: коли API key достатньо, коли потрібен OAuth, як проєктувати scopes, ротацію ключів, rate limits і аудит інтеграційних доступів.