Rate limiting protege las APIs contra abusos limitando el número de solicitudes en un período de tiempo. Esencial para seguridad y estabilidad.
Estrategias comunes
Fixed Window: cuenta en ventanas de tiempo fijas. Sliding Window: ventana deslizante más precisa. Token Bucket: tokens que se regeneran. Leaky Bucket: cola de velocidad fija.
Cabeceras de respuesta
X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset. El cliente puede ajustar su comportamiento. HTTP 429 Too Many Requests con Retry-After.
Implementación
Redis para rate limiting distribuido. Almacenamiento en memoria para single-server. Middleware en Express, FastAPI, Cloudflare Workers.
Consideraciones
Rate limiting por IP, usuario o API key. Límites diferentes por endpoint. Cuotas de uso vs rate limiting. Excepciones para clientes premium.

