Limitación de Velocidad de API para Verificación de Identidad

A medida que las empresas dependen cada vez más de la verificación de identidad digital (IDV) para incorporar usuarios, prevenir fraudes y mantener el cumplimiento normativo, la seguridad y el rendimiento de sus API de IDV se vuelven primordiales. Un componente crucial de un sistema de IDV robusto es la implementación de una limitación de velocidad de API efectiva. Este artículo profundiza en la importancia de la limitación de velocidad, las mejores prácticas para su implementación y cómo Didit aborda la limitación de velocidad para proporcionar un servicio seguro y confiable.

Idea Clave 1 La limitación de velocidad protege su API de IDV contra abusos, garantizando la disponibilidad del servicio para los usuarios legítimos.

Idea Clave 2 Una limitación de velocidad efectiva implica elegir los algoritmos correctos, establecer límites apropiados y proporcionar respuestas de error informativas.

Idea Clave 3 Didit emplea un sistema de limitación de velocidad sofisticado que equilibra la seguridad, la equidad y la experiencia del desarrollador.

Idea Clave 4 Una limitación de velocidad bien diseñada es un aspecto clave de la seguridad general de la API y la resiliencia del sistema.

Por qué la Limitación de Velocidad de API es Esencial para la Verificación de Identidad

Las API de verificación de identidad son un objetivo principal para los actores maliciosos. Los ataques de fuerza bruta, el relleno de credenciales y los intentos de denegación de servicio (DoS) pueden sobrecargar el sistema, lo que provoca interrupciones del servicio y posibles brechas de seguridad. La limitación de velocidad de API actúa como un mecanismo de defensa, restringiendo la cantidad de solicitudes que un cliente puede realizar dentro de un período de tiempo específico. Esto protege la API de ser sobrecargada, garantizando la disponibilidad para los usuarios legítimos y previniendo abusos. Sin la limitación de velocidad de API, un atacante podría enviar potencialmente miles de documentos de identidad en un corto período de tiempo, causando una tensión significativa en los recursos y comprometiendo potencialmente el sistema.

Algoritmos y Estrategias de Limitación de Velocidad

Se pueden utilizar varios algoritmos para implementar la limitación de velocidad de API. Estas son algunas de las aproximaciones comunes:

• Cubo de Fichas (Token Bucket): Un cubo virtual contiene fichas, que representan asignaciones de solicitud. Cada solicitud consume una ficha. Las fichas se reponen a un ritmo fijo. Esto permite ráfagas de tráfico manteniendo al mismo tiempo una tasa promedio.
• Cubo con Fugas (Leaky Bucket): Similar al cubo de fichas, pero las solicitudes se procesan a un ritmo fijo y las solicitudes que lo exceden se descartan.
• Contador de Ventana Fija (Fixed Window Counter): Cuenta las solicitudes dentro de ventanas de tiempo fijas (por ejemplo, 60 segundos). Una vez que se alcanza el límite, se bloquean las solicitudes adicionales hasta la siguiente ventana.
• Registro de Ventana Deslizante (Sliding Window Log): Mantiene un registro de las solicitudes recientes. El límite de velocidad se calcula en función de las solicitudes dentro de la ventana deslizante. Esto proporciona una limitación de velocidad más precisa que las ventanas fijas, pero requiere más recursos.
• Contador de Ventana Deslizante (Sliding Window Counter): Un enfoque híbrido que combina el contador de ventana fija con el registro de ventana deslizante, ofreciendo un equilibrio entre precisión y rendimiento.

La elección del algoritmo correcto depende de los requisitos específicos, como la precisión, el rendimiento y la complejidad deseados. Para las API de IDV, a menudo se utiliza una combinación de algoritmos para proporcionar una protección en capas.

Diseño de Límites de Velocidad Efectivos para las API de IDV

Establecer límites de velocidad apropiados es crucial. Los límites demasiado restrictivos pueden frustrar a los usuarios legítimos, mientras que los límites demasiado indulgentes pueden no proporcionar una protección adecuada. Aquí hay algunas consideraciones:

• Límites de Velocidad por Niveles (Tiered Rate Limits): Diferentes niveles basados en planes de suscripción o uso del cliente. Los clientes de nivel superior pueden tener límites más altos.
• Límites Específicos del Punto Final de la API (API Endpoint Specific Limits): Diferentes puntos finales pueden tener diferentes límites según su intensidad de recursos. Por ejemplo, un punto final de verificación de documentos de identidad puede tener un límite más bajo que un punto final simple de búsqueda de datos.
• Límites Basados en el Cliente (Client-Based Limits): Límites basados en la clave de API o la dirección IP del cliente.
• Límites de Velocidad Dinámicos (Dynamic Rate Limits): Ajuste dinámico de los límites en función de la carga del sistema o las anomalías detectadas.

Por ejemplo, Didit implementa límites de velocidad por niveles basados en el nivel de suscripción. Un plan básico podría permitir 100 solicitudes por minuto, mientras que un plan empresarial podría permitir 1000 solicitudes por minuto. Además, el punto final de verificación de identidad, al ser más intensivo en recursos, tiene un límite más bajo que el punto final de detección de AML.

Cómo Didit Gestiona la Limitación de Velocidad de API

Didit emplea una estrategia de limitación de velocidad de API de múltiples capas:

• Algoritmo del Cubo de Fichas (Token Bucket Algorithm): Se utiliza como el mecanismo central de limitación de velocidad.
• Límites por Niveles (Tiered Limits): Diferentes planes tienen diferentes límites de velocidad.
• Límites Específicos del Punto Final (Endpoint-Specific Limits): Cada punto final de la API tiene su propio límite de velocidad configurado.
• Límites Basados en IP (IP-Based Limits): Límites adicionales basados en la dirección IP de origen.
• Monitoreo y Ajuste en Tiempo Real (Real-time Monitoring and Adjustment): La carga del sistema se monitorea constantemente y los límites se ajustan dinámicamente si es necesario.

Cuando se excede un límite de velocidad, Didit devuelve un error 429 Demasiadas Solicitudes con encabezados informativos, incluidos las solicitudes restantes y la hora de restablecimiento. Por ejemplo:

HTTP/1.1 429 Too Many Requests
X-RateLimit-Limit: 100
X-RateLimit-Remaining: 0
X-RateLimit-Reset: 1678886400

Esto permite a los desarrolladores manejar la limitación de velocidad de forma elegante e implementar una lógica de reintento. Las API de Didit también proporcionan un punto final dedicado para verificar el estado actual del límite de velocidad.

Mejores Prácticas para Integrarse con las API Limitadas por Velocidad

• Implementar Lógica de Reintento (Implement Retry Logic): Cuando se recibe un error 429, implementar un retroceso exponencial con jitter para evitar sobrecargar la API.
• Caché de Respuestas (Cache Responses): Almacenar en caché los datos a los que se accede con frecuencia para reducir la cantidad de llamadas a la API.
• Optimizar el Uso de la API (Optimize API Usage): Agrupar solicitudes siempre que sea posible para reducir el número total de llamadas.
• Monitorear el Uso de la API (Monitor API Usage): Realizar un seguimiento del uso de la API para identificar posibles cuellos de botella y optimizar la integración.
• Respetar los Encabezados del Límite de Velocidad (Respect Rate Limit Headers): Prestar atención a los encabezados del límite de velocidad devueltos por la API para evitar exceder los límites.

¿Listo para Empezar?

Proteja su sistema de verificación de identidad con una limitación de velocidad de API robusta. La plataforma de Didit proporciona una solución segura y confiable con limitación de velocidad incorporada y documentación completa.

Explore nuestra documentación de la API y regístrese para obtener una cuenta gratuita para experimentar el poder de la plataforma de identidad de Didit.

Preguntas Frecuentes

¿Qué sucede cuando excedo el límite de velocidad de la API?

Recibirá un error 429 Demasiadas Solicitudes. Los encabezados de la respuesta incluirán información sobre el límite de velocidad, las solicitudes restantes y la hora de restablecimiento. Implemente una lógica de reintento con un retroceso exponencial para manejar estos errores de forma elegante.

¿Puedo solicitar un límite de velocidad más alto?

Sí, puede ponerse en contacto con nuestro equipo de ventas para analizar la actualización de su plan de suscripción para obtener límites de velocidad más altos. Ofrecemos planes escalonados para adaptarse a diferentes necesidades de uso.

¿Cómo determina Didit los límites de velocidad apropiados?

Los límites de velocidad de Didit se basan en una combinación de factores, incluido el nivel de suscripción, el punto final de la API, la carga del sistema y los patrones de uso históricos. Monitoreamos y ajustamos continuamente los límites para garantizar un rendimiento y una seguridad óptimos.

¿Cuál es la diferencia entre un algoritmo de limitación de velocidad de cubo de fichas y uno de ventana fija?

Un cubo de fichas permite ráfagas de tráfico siempre que haya fichas disponibles, mientras que un contador de ventana fija limita estrictamente la cantidad de solicitudes dentro de una ventana de tiempo fija. El cubo de fichas es generalmente más flexible, mientras que el contador de ventana fija es más simple de implementar.