Lewati ke konten utama
Didit Raih $7,5 Juta untuk Membangun Infrastruktur Identitas dan Fraud
Didit
Kembali ke blog
Blog · 7 Maret 2026

Mengamankan Verifikasi Identitas: Batas dan Pembatasan Laju API (ID-1)

Menerapkan batas laju dan pembatasan API yang kuat sangat penting untuk melindungi titik akhir verifikasi identitas dari penyalahgunaan, memastikan stabilitas sistem, dan menjaga kualitas layanan.

Oleh DiditDiperbarui
securing-identity-verification-api-rate-limits-and-throttling.png

Melindungi dari PenyalahgunaanPembatasan laju dan pembatasan adalah pertahanan penting terhadap serangan Denial-of-Service (DoS), percobaan brute-force, dan credential stuffing pada API verifikasi identitas yang sensitif.

Memastikan Stabilitas SistemDengan mengontrol volume permintaan, mekanisme ini mencegah kelebihan beban API, memastikan kinerja yang konsisten dan ketersediaan sumber daya untuk pengguna yang sah.

Menjaga Integritas DataMencegah permintaan berlebihan membantu menjaga integritas data identitas dan akurasi proses verifikasi, seperti yang melibatkan Verifikasi ID dan Pemeriksaan Keaktifan.

Pertahanan Multi-Lapisan DiditDidit menerapkan batas laju global dan spesifik titik akhir yang komprehensif, bersama dengan header X-RateLimit yang jelas dan panduan klien, untuk mengamankan platform identitasnya secara efektif.

Peran Kritis Pembatasan Laju dalam Verifikasi Identitas

Dalam lanskap digital saat ini, verifikasi identitas sangat penting untuk kepercayaan dan keamanan. Bisnis mengandalkan API untuk melakukan pemeriksaan penting seperti Verifikasi ID, Deteksi Keaktifan, dan Penyaringan AML. Namun, titik akhir yang kuat ini juga merupakan target utama bagi pelaku jahat. Tanpa perlindungan yang tepat, mereka dapat dieksploitasi untuk pencurian data, penipuan, atau hanya untuk mengganggu layanan melalui serangan Denial-of-Service (DoS). Di sinilah pembatasan laju dan pembatasan API menjadi sangat diperlukan.

Pembatasan laju adalah strategi untuk mengontrol jumlah permintaan yang dapat dilakukan klien ke API dalam jangka waktu tertentu. Pembatasan, konsep terkait, melibatkan penyesuaian dinamis laju permintaan berdasarkan kapasitas sistem atau batas yang telah ditentukan. Bersama-sama, mereka membentuk garis pertahanan yang krusial, memastikan bahwa infrastruktur verifikasi identitas Anda tetap stabil, aman, dan tersedia untuk pengguna yang sah. Bayangkan skenario di mana penyerang mencoba melakukan brute-force jutaan pemeriksaan identitas menggunakan kredensial curian; tanpa batas laju, ini dapat dengan cepat membanjiri sistem Anda, menyebabkan gangguan layanan dan potensi pelanggaran data. Didit, dengan platform identitas AI-natifnya, memahami tantangan ini secara mendalam dan menanamkan pembatasan laju multi-lapisan langsung ke dalam arsitekturnya.

Memahami Batas Global vs. Spesifik Titik Akhir

Pembatasan laju yang efektif membutuhkan pendekatan yang berbeda, membedakan antara penggunaan API umum dan operasi berdampak tinggi. Batas satu ukuran untuk semua bisa terlalu ketat untuk operasi umum atau terlalu longgar untuk operasi yang intensif sumber daya. Oleh karena itu, sistem yang kuat menggunakan batas global dan spesifik titik akhir.

Batas Global

Batas global berlaku di seluruh kategori luas permintaan API. Misalnya, Didit menerapkan batas global 300 permintaan per menit per aplikasi untuk semua titik akhir GET dan 300 permintaan per menit lainnya untuk semua titik akhir tulis/hapus (POST, PATCH, DELETE). Batas umum ini memberikan lapisan perlindungan dasar, bertindak sebagai pembatas untuk konsumsi API secara keseluruhan. Mereka dirancang untuk mencegah penyalahgunaan yang meluas tanpa terlalu memengaruhi alur operasional normal.

Batas Spesifik Titik Akhir

Di luar batas global, operasi API tertentu secara inheren lebih intensif sumber daya atau sensitif, sehingga memerlukan kontrol yang lebih ketat. Platform Didit mendefinisikan cakupan tambahan yang lebih ketat untuk operasi berdampak tinggi tersebut. Sebagai contoh:

  • session-v2-create (POST /v2/session/): Titik akhir ini, yang krusial untuk memulai alur kerja verifikasi identitas, memiliki batas khusus 600 permintaan per menit. Ini memastikan bahwa meskipun pembuatan sesi sering dilakukan, ini tidak membanjiri mesin orkestrasi alur kerja.
  • session-decision (GET /v2/session/<id>/decision/): Pengambilan keputusan sesi dibatasi hingga 100 permintaan per menit. Ini mencegah polling berlebihan yang dapat membebani sumber daya basis data, sangat penting untuk hasil real-time dari proses seperti Verifikasi ID dan Penyaringan AML.
  • session-generate-pdf (GET /session/<id>/generate-pdf/): Pembuatan PDF adalah operasi yang terikat CPU, dan karenanya dibatasi hingga 100 permintaan per menit untuk mengelola biaya komputasi dan memastikan responsivitas.

Pendekatan berjenjang ini memungkinkan kontrol yang terperinci, mengoptimalkan kinerja dan keamanan di seluruh siklus hidup verifikasi identitas.

Praktik Terbaik Sisi Klien untuk Menangani Batas Laju

Meskipun penyedia API menerapkan pembatasan laju yang kuat, klien juga memainkan peran krusial dalam menghormati batas ini dan membangun aplikasi yang tangguh. Ketika API mengembalikan respons 429 Too Many Requests, itu bukan kegagalan tetapi indikasi untuk menyesuaikan pola permintaan Anda. API Didit, misalnya, menyertakan header penting dalam respons 429 untuk memandu klien:

  • X-RateLimit-Limit: Jumlah maksimum permintaan yang diizinkan dalam jendela saat ini.
  • X-RateLimit-Remaining: Jumlah permintaan yang tersisa dalam jendela saat ini.
  • X-RateLimit-Reset: Waktu (dalam detik epoch) ketika jendela batas laju saat ini disetel ulang.
  • Retry-After: Menentukan berapa lama harus menunggu sebelum membuat permintaan baru.

Untuk membangun integrasi yang kuat, klien harus:

  1. Memantau Header Batas Laju: Secara aktif mengamati X-RateLimit-Remaining dan mulai membatasi permintaan ketika turun di bawah ambang batas tertentu (misalnya, 15% dari X-RateLimit-Limit).
  2. Menerapkan Backoff Eksponensial: Untuk respons 429, jangan segera mencoba lagi. Sebaliknya, terapkan strategi backoff eksponensial, tingkatkan penundaan antar percobaan (misalnya, 5s → 10s → 20s → 40s). Ini mencegah API semakin kewalahan dan memungkinkannya pulih.
  3. Mencatat dan Memberi Peringatan: Catat kejadian respons 429 dan percobaan ulang yang dipicu. Ini membantu mengidentifikasi lonjakan berkelanjutan atau potensi masalah dalam pola permintaan aplikasi Anda, memungkinkan tim Anda untuk menyelidiki dan mengoptimalkan.

Mematuhi praktik-praktik ini memastikan aplikasi Anda terintegrasi dengan lancar dan andal dengan layanan verifikasi identitas, bahkan dalam kondisi beban yang bervariasi.

Bagaimana Didit Membantu Mengamankan Alur Kerja Identitas Anda

Didit menyediakan platform identitas AI-natif yang komprehensif, dirancang dari awal dengan keamanan dan skalabilitas. Pembatasan laju multi-lapisan kami hanyalah salah satu contoh bagaimana kami melindungi operasi Anda dan data pengguna yang sensitif. Dengan Didit, Anda mendapatkan manfaat dari:

  • Perlindungan API yang Kuat: Batas laju global dan spesifik titik akhir kami melindungi dari penyalahgunaan, memastikan stabilitas untuk layanan penting seperti Verifikasi ID, Keaktifan Pasif & Aktif, Pencocokan Wajah 1:1, dan Penyaringan & Pemantauan AML.
  • Alur Kerja yang Terorkestrasi: Konsol Bisnis tanpa kode kami memungkinkan Anda merancang perjalanan verifikasi yang kompleks, dan backend kami secara cerdas mengelola panggilan API yang mendasarinya, menghormati semua batas. Misalnya, saat membuat Tautan Verifikasi atau Unilink, sistem menangani pembuatan sesi dan pemeriksaan selanjutnya secara efisien.
  • Pendekatan Berbasis Pengembang: Didit menawarkan API yang bersih dan dokumentasi yang komprehensif, termasuk panduan terperinci tentang pembatasan laju, memungkinkan pengembang untuk membangun integrasi yang tangguh sejak hari pertama. Arsitektur modular kami berarti Anda dapat plug-and-play pemeriksaan identitas tanpa khawatir tentang infrastruktur yang mendasarinya.
  • Skalabilitas dan Keandalan: Dengan mengelola lalu lintas API secara proaktif, Didit memastikan ketersediaan dan kinerja tinggi, bahkan selama beban puncak. Platform AI-natif kami dibangun untuk menskalakan secara global, menangani jutaan verifikasi tanpa mengorbankan keamanan atau kecepatan.

Komitmen Didit terhadap keamanan melampaui pembatasan laju, mencakup fitur-fitur seperti KYC Inti Gratis, tanpa biaya penyiapan, dan model bayar-per-pemeriksaan-berhasil, membuat verifikasi identitas yang kuat dapat diakses dan efisien untuk bisnis dari semua ukuran.

Siap Memulai?

Siap melihat Didit beraksi? Dapatkan demo gratis hari ini.

Mulai memverifikasi identitas secara gratis dengan tingkat gratis Didit.

Infrastruktur untuk identitas dan fraud.

Satu API untuk KYC, KYB, Transaction Monitoring, dan Wallet Screening. Integrasi dalam 5 menit.

Mulai gratisHubungi kami
Minta AI untuk merangkum halaman ini
Mengamankan Verifikasi Identitas: Batas Laju dan.