Limitação de Taxa de APIs para Verificação de Identidade

À medida que as empresas dependem cada vez mais da verificação de identidade digital (VID) para integrar utilizadores, prevenir fraudes e manter a conformidade, a segurança e o desempenho das suas APIs de VID tornam-se fundamentais. Um componente crucial de um sistema de VID robusto é a implementação de uma limitação de taxa de API eficaz. Este artigo aprofunda a importância da limitação de taxa, as melhores práticas para implementação e como a Didit aborda a limitação de taxa para fornecer um serviço seguro e fiável.

Conclusão Principal 1 A limitação de taxa protege a sua API de VID contra abusos, garantindo a disponibilidade do serviço para utilizadores legítimos.

Conclusão Principal 2 Uma limitação de taxa eficaz envolve a escolha dos algoritmos certos, a definição de limites adequados e o fornecimento de respostas de erro informativas.

Conclusão Principal 3 A Didit emprega um sistema de limitação de taxa sofisticado que equilibra a segurança, a justiça e a experiência do programador.

Conclusão Principal 4 Uma limitação de taxa bem concebida é um aspeto fundamental da segurança geral da API e da resiliência do sistema.

Por que a Limitação de Taxa de API é Essencial para a Verificação de Identidade

As APIs de verificação de identidade são alvos privilegiados para agentes maliciosos. Ataques de força bruta, credential stuffing e tentativas de negação de serviço (DoS) podem sobrecarregar o sistema, levando a interrupções do serviço e potenciais violações de segurança. A limitação de taxa de API atua como um mecanismo de defesa, restringindo o número de pedidos que um cliente pode fazer num determinado período de tempo. Isto protege a API contra sobrecarga, garantindo a disponibilidade para utilizadores legítimos e prevenindo abusos. Sem a limitação de taxa de API, um atacante poderá submeter potencialmente milhares de documentos de identificação num curto espaço de tempo, causando uma pressão significativa nos recursos e potencialmente comprometendo o sistema.

Algoritmos e Estratégias de Limitação de Taxa

Vários algoritmos podem ser utilizados para implementar a limitação de taxa de API. Aqui estão algumas abordagens comuns:

• Bucket de Tokens: Um bucket virtual contém tokens, que representam permissões de pedido. Cada pedido consome um token. Os tokens são repostos a uma taxa fixa. Isto permite picos de tráfego mantendo uma taxa média.
• Bucket de Fugas: Semelhante ao bucket de tokens, mas os pedidos são processados a uma taxa fixa e quaisquer pedidos excedentes são descartados.
• Contador de Janela Fixa: Conta os pedidos dentro de janelas de tempo fixas (por exemplo, 60 segundos). Quando o limite é atingido, os pedidos adicionais são bloqueados até à próxima janela.
• Log de Janela Deslizante: Mantém um registo de pedidos recentes. O limite de taxa é calculado com base nos pedidos dentro da janela deslizante. Isto proporciona uma limitação de taxa mais precisa do que as janelas fixas, mas requer mais recursos.
• Contador de Janela Deslizante: Uma abordagem híbrida que combina o contador de janela fixa com o log de janela deslizante, oferecendo um equilíbrio entre precisão e desempenho.

A escolha do algoritmo certo depende dos requisitos específicos, como a precisão desejada, o desempenho e a complexidade. Para as APIs de VID, é frequentemente utilizada uma combinação de algoritmos para fornecer uma proteção em camadas.

Conceber Limites de Taxa Eficazes para APIs de VID

Definir limites de taxa adequados é crucial. Limites demasiado restritivos podem frustrar os utilizadores legítimos, enquanto limites demasiado flexíveis podem não fornecer proteção adequada. Aqui estão algumas considerações:

• Limites de Taxa em Camadas: Diferentes camadas com base em planos de subscrição ou utilização do cliente. Os clientes de nível superior podem ter limites mais elevados.
• Limites Específicos do Ponto Final da API: Diferentes pontos finais podem ter limites diferentes com base na sua intensidade de recursos. Por exemplo, um ponto final de verificação de documentos de identificação pode ter um limite inferior a um ponto final de pesquisa de dados simples.
• Limites Baseados no Cliente: Limites com base na chave de API ou no endereço IP do cliente.
• Limites de Taxa Dinâmicos: Ajustar os limites dinamicamente com base na carga do sistema ou anomalias detetadas.

Por exemplo, a Didit implementa limites de taxa em camadas com base no nível de subscrição. Um plano básico pode permitir 100 pedidos por minuto, enquanto um plano empresarial pode permitir 1000 pedidos por minuto. Além disso, o ponto final de verificação de identidade, sendo mais intensivo em recursos, tem um limite inferior ao ponto final de rastreio AML.

Como a Didit Lida com a Limitação de Taxa de API

A Didit emprega uma estratégia de limitação de taxa de API em várias camadas:

• Algoritmo Bucket de Tokens: Utilizado como o mecanismo central de limitação de taxa.
• Limites em Camadas: Diferentes planos têm diferentes limites de taxa.
• Limites Específicos do Ponto Final: Cada ponto final da API tem o seu próprio limite de taxa configurado.
• Limites Baseados no IP: Limites adicionais com base no endereço IP de origem.
• Monitorização e Ajustamento em Tempo Real: A carga do sistema é continuamente monitorizada e os limites são ajustados dinamicamente, se necessário.

Quando um limite de taxa é excedido, a Didit devolve um erro 429 Too Many Requests com cabeçalhos informativos, incluindo os pedidos restantes e o tempo de reposição. Por exemplo:

HTTP/1.1 429 Too Many Requests
X-RateLimit-Limit: 100
X-RateLimit-Remaining: 0
X-RateLimit-Reset: 1678886400

Isto permite que os programadores lidem graciosamente com a limitação de taxa e implementem a lógica de repetição. As APIs da Didit também fornecem um ponto final dedicado para verificar o estado atual do limite de taxa.

Melhores Práticas para Integração com APIs Limitadas por Taxa

• Implementar Lógica de Repetição: Quando é recebido um erro 429, implementar o recuo exponencial com jitter para evitar sobrecarregar a API.
• Cache de Respostas: Cache de dados acessados frequentemente para reduzir o número de chamadas de API.
• Otimizar a Utilização da API: Agrupar pedidos sempre que possível para reduzir o número total de chamadas.
• Monitorizar a Utilização da API: Rastrear a utilização da API para identificar potenciais gargalos e otimizar a integração.
• Respeitar os Cabeçalhos do Limite de Taxa: Prestar atenção aos cabeçalhos do limite de taxa devolvidos pela API para evitar exceder os limites.

Pronto para Começar?

Proteja o seu sistema de verificação de identidade com uma limitação de taxa de API robusta. A plataforma Didit fornece uma solução segura e fiável com limitação de taxa integrada e documentação abrangente.

Explore a nossa documentação da API e inscreva-se para uma conta gratuita para experimentar o poder da plataforma de identidade da Didit.

FAQ

O que acontece quando excedo o limite de taxa da API?

Receberá um erro 429 Too Many Requests. Os cabeçalhos da resposta incluirão informações sobre o limite de taxa, os pedidos restantes e o tempo de reposição. Implemente a lógica de repetição com recuo exponencial para lidar com estes erros de forma graciosa.

Posso solicitar um limite de taxa mais elevado?

Sim, pode entrar em contacto com a nossa equipa de vendas para discutir a atualização do seu plano de subscrição para limites de taxa mais elevados. Oferecemos planos em camadas para acomodar diferentes necessidades de utilização.

Como a Didit determina os limites de taxa adequados?

Os limites de taxa da Didit são baseados numa combinação de fatores, incluindo o nível de subscrição, o ponto final da API, a carga do sistema e os padrões de utilização histórica. Monitorizamos e ajustamos continuamente os limites para garantir um desempenho e segurança ótimos.

Qual é a diferença entre um algoritmo de limitação de taxa de bucket de tokens e um algoritmo de limitação de taxa de janela fixa?

Um bucket de tokens permite picos de tráfego enquanto houver tokens disponíveis, enquanto um contador de janela fixa limita estritamente o número de pedidos dentro de uma janela de tempo fixa. O bucket de tokens é geralmente mais flexível, enquanto o contador de janela fixa é mais simples de implementar.