Rate limiting adalah teknik penting untuk melindungi API dari abuse dengan mengontrol jumlah permintaan dalam periode tertentu. Panduan ini menjelaskan konsep dasar, algoritma populer seperti Token Bucket dan Sliding Window, opsi implementasi (gateway, aplikasi, hardware), serta langkah monitoring dan pengujian agar API tetap aman dan tersedia tanpa mengorbankan pengalaman pengguna.
Mengapa API Rentan Abuse dan Dampaknya pada Sistem
API sering jadi target abuse karena sifatnya terbuka, terdokumentasi, dan bisa diotomasi dengan mudah. Penyerang memanfaatkannya untuk scraping data, brute force login, credential stuffing dengan kombinasi akun bocor, hingga volumetric DoS yang membanjiri endpoint dengan trafik.
💻 Mulai Belajar Pemrograman
Belajar pemrograman di Dicoding Academy dan mulai perjalanan Anda sebagai developer profesional.
Daftar SekarangDampaknya terasa langsung di level teknis: latency naik, memori habis karena terlalu banyak connection dan objek, serta biaya bandwidth melonjak. Pada titik tertentu, pengguna sah mulai mengalami timeout, error 5xx, atau fitur yang terasa lambat dan tidak responsif.
Beberapa indikator awal biasanya berupa lonjakan requests per detik, pola endpoint yang diakses berulang dengan pola aneh, dan user agent generik atau mencurigakan. Namun, analisis sumber trafik rumit karena adanya NAT, proxy, dan botnet yang menyamarkan alamat IP asli penyerang.
Oleh karena itu, penting untuk memantau metrik inti seperti requests/sec, error rate, latency p95/p99, serta resource utilization CPU, memori, dan jaringan. Dari sinilah nanti kamu bisa merancang jenis teknik pembatasan trafik yang paling relevan untuk API.
Jenis Teknik Pembatasan Trafik dan Perbandingan
Setelah memahami mengapa API mudah disalahgunakan, kamu perlu mengenal teknik pembatasan trafik yang paling umum dipakai. Teknik paling sederhana adalah Fixed Window Counter: setiap client punya penghitung permintaan per jendela waktu, misalnya 100 request per 1 menit. Pendekatan ini mudah diimplementasikan dan murah secara komputasi, tetapi rentan burst di tepi jendela, misalnya 100 permintaan di akhir menit dan 100 lagi di awal menit berikutnya.
Sliding Window Log mencatat timestamp setiap request, lalu menghitung berapa banyak dalam rentang waktu berjalan, sehingga jauh lebih presisi. Namun, log per client bisa besar dan mahal di memori saat trafik padat. Sebagai kompromi, Sliding Window Counter menggabungkan dua jendela fixed dan melakukan interpolasi, akurasinya cukup baik dengan jejak memori lebih kecil.
Token Bucket mengisi token dengan laju tetap; setiap request menghabiskan satu token, dan bucket boleh menampung cadangan untuk mengizinkan burst singkat. Leaky Bucket membatasi laju keluaran secara konstan, sehingga antrian permintaan mengalir stabil seperti ember bocor. Keduanya cocok untuk API yang butuh kontrol rata-rata jangka panjang, dengan Token Bucket biasanya lebih ramah terhadap UX karena mengizinkan lonjakan singkat yang wajar.
Dari sisi presisi, Sliding Window Log dan Token Bucket unggul, tetapi Fixed Window dan Sliding Counter lebih ringan untuk sistem terdistribusi karena lebih mudah direplikasi di cache seperti Redis. Untuk API publik yang berisiko tinggi, kombinasi Sliding Window Counter atau Token Bucket sering lebih seimbang antara akurasi, memori, dan skala. Untuk API internal, Fixed Window atau Leaky Bucket biasanya cukup, terutama bila fokus pada kesederhanaan dan kontrol beban rata-rata.
Mengenal Rate Limiting Konsep dan Manfaat
Rate limiting adalah mekanisme untuk membatasi jumlah request dalam jangka waktu tertentu. Batas ini bisa diterapkan per IP, per API key, per user, bahkan per endpoint tertentu yang sensitif. Dengan begitu, kamu bisa mengontrol pola akses tanpa harus mengubah logika bisnis utama.
Dari sisi keamanan, rate limiting membantu menahan scraping masif, serangan brute force login, dan serangan volumetrik mirip DoS. Secara operasional, mekanisme ini melindungi resource backend, menstabilkan latency, dan menjaga biaya infrastruktur tetap terkendali. API tetap responsif meski trafik naik karena setiap klien dipaksa bermain dalam batas wajar.
Metrik keberhasilan biasanya mencakup penurunan error 5xx, stabilitas throughput, dan waktu pemulihan setelah lonjakan trafik. Respons standar ketika limit terlampaui adalah HTTP 429 Too Many Requests, sering disertai header Retry-After untuk memberi tahu kapan boleh mencoba lagi. Banyak API juga menambahkan header seperti X-RateLimit-Limit, X-RateLimit-Remaining, dan X-RateLimit-Reset agar klien bisa mengatur pola request-nya sendiri.
Algoritma Praktis Token Bucket dan Sliding Window
Pada token bucket, kamu tentukan dulu token refill rate dan kapasitas burst. Misalnya, 100 permintaan per menit dengan bucket maksimal 200 token. Setiap permintaan harus mengambil satu token; jika kosong, permintaan ditolak atau diberi HTTP 429.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
state: tokens, last_refill_time function allowRequest(now): elapsed = now - last_refill_time new_tokens = floor(elapsed * refill_rate_per_ms) tokens = min(max_capacity, tokens + new_tokens) last_refill_time = now if tokens > 0: tokens -= 1 return true else: return false |
Untuk sliding window counter, simpanlah hitungan per window kecil, misalnya 1 detik, lalu jumlahkan dalam 60 detik terakhir. Di Redis, pakai INCR + EXPIRE atau sorted set dengan timestamp, dan pastikan operasi bersifat atomik, misalnya dengan LUA script. Akurasinya tinggi karena batas dihitung dari total beberapa sub-window, bukan satu blok waktu kaku.
Nilai ambang bisa dibedakan per endpoint: public misalnya 60 permintaan/menit per IP, authenticated 600 permintaan/menit per pengguna, dan admin lebih longgar tapi diawasi ketat, misalnya 1.000 permintaan/menit. Untuk menangani burst tanpa membuka celah abuse, gunakan kombinasi leaky rate (keluaran stabil), smoothing dengan sliding window, dan grace period singkat sebelum memblokir total.
Secara praktis, banyak tim memakai Redis atau in-memory cache seperti Memcached untuk performa, lalu menempatkan middleware rate limiting di API gateway seperti Kong, NGINX, atau Envoy. In-memory cepat, tetapi tidak cocok untuk banyak instance tanpa sinkronisasi. Di lain sisi, Redis menambah sedikit latensi, tetapi memberi konsistensi yang dibutuhkan sebelum kamu masuk ke desain terdistribusi penuh.
Desain Terdistribusi Skalabilitas dan Konsistensi Pembatasan
Di lingkungan terdistribusi, tantangan utama adalah menjaga konsistensi counter di banyak node. Tanpa koordinasi, bisa muncul race condition, misalnya dua node mengizinkan permintaan yang seharusnya sudah diblokir. Latency antar node juga penting karena decision terlambat dapat membuat batas trafik “bocor”.
Pola umum adalah centralized store seperti Redis untuk menyimpan rate counter dengan operasi atomik. Alternatifnya, kamu bisa pakai token bucket lokal di tiap node lalu periodic sync ke pusat, untuk mengurangi latensi dan beban jaringan. Untuk klien tepercaya, tambahkan client-side rate limiting agar sebagian kontrol sudah dilakukan sebelum menyentuh server.
Untuk skala besar, gunakan sharding dan consistent hashing agar kunci seperti user_id atau API key tersebar merata. Tantangan lain adalah NAT dan IP bersama, sehingga batas per IP sering tidak cukup adil. Kombinasikan identitas seperti API key, device fingerprint, dan user agent untuk membuat key pembatasan yang lebih akurat.
Saat central store gagal, kamu perlu degradation policy: misalnya turunkan batas global atau pakai local fallback. Circuit breaker mencegah semua node terus menembak Redis yang sedang bermasalah. Dalam beberapa kasus, antrian (queue) bisa dipakai untuk menunda permintaan non-kritis, yang nanti akan terlihat jelas dampaknya di sistem monitoring dan bab berikutnya.
Implementasi Monitoring Testing dan Penanganan Kasus Nyata
Implementasi bertahap itu wajib, bukan opsional.
Pertama, mulai dari prototipe lokal dengan in-memory rate limiter supaya tim cepat melihat perilaku dasar sistem. Lalu, pindahkan ke staging yang meniru produksi agar temuan lebih valid. Setelah metrik di staging stabil, barulah lakukan rollout bertahap di produksi, misalnya lewat canary release atau percentage rollout. Dengan urutan ini, risiko gangguan massal bisa ditekan.
Pengujian harus memisahkan “normal” vs “abuse” agar hasilnya tidak menipu.
Untuk skenario normal, gunakan pola trafik realistis sesuai jam sibuk dan tipe klien. Kemudian ukur latency, error rate, dan persentase respons 429 untuk memastikan rate limit tidak mengganggu pengguna sah. Sebaliknya, untuk skenario abuse, simulasikan botnet dengan banyak klien paralel. Selain itu, lakukan chaos testing dengan mematikan sebagian node rate limiting agar terlihat apa yang terjadi saat degradasi dan apakah sistem tetap aman.
Monitoring harus menjawab: “Siapa diblokir, seberapa sering, dan kenapa?”.
Karena itu, fokus pada metrik inti seperti rasio 429, jumlah blocked requests, dan konsumsi token per tenant atau API key. Lalu, buat dashboard yang memisahkan trafik normal dan trafik terblokir agar investigasi lebih cepat. Setelah itu, pasang alert ketika 429 melonjak, ketika satu IP mendominasi trafik, atau ketika token bucket sering habis. Dengan begitu, tim bisa membedakan konfigurasi terlalu ketat vs serangan yang sedang berjalan.
Komunikasi ke pengguna mengurangi frustrasi dan menurunkan retry storm.
Jadi, sertakan header seperti X-RateLimit-Limit, X-RateLimit-Remaining, dan Retry-After supaya klien bisa berperilaku adaptif. Kemudian jelaskan retry with backoff di dokumentasi agar integrator tidak menebak-nebak. Di respons 429, tulis pesan singkat yang menyebut batasan yang terkena, saran interval retry, dan tautan ke halaman kebijakan. Alhasil, klien lebih cepat pulih tanpa membebani sistem.
Tuning ambang batas adalah pekerjaan rutin, bukan sekali selesai.
Oleh sebab itu, amati pola trafik harian dan cari false positive seperti cron job internal yang valid. Setelah itu, buat pengecualian atau bucket khusus supaya job penting tidak ikut terblokir. Di organisasi yang matang, pembaruan kebijakan sering dibuat otomatis. Misalnya melalui rules engine yang membaca tren trafik dan menyesuaikan threshold secara berkala. Dengan cara ini, sistem tetap adaptif tanpa mengorbankan UX.
Penutup
Menerapkan kebijakan rate limiting yang tepat membantu menurunkan risiko scraping, brute force, dan DoS sambil menjaga UX. Gunakan kombinasi algoritma, desain terdistribusi, monitoring real-time, dan kebijakan penanganan progresif. Dengan kerangka ini tim dapat merancang, mengimplementasi, dan menguji pembatasan trafik untuk mempertahankan ketersediaan, performa, dan biaya yang terkendali.
