Limitation de débit
Quick Definition
Une technique pour contrôler le taux de requêtes qu'un utilisateur peut faire vers une application, protégeant contre les abus et les attaques par force brute.
Qu'est-ce que Limitation de débit ?
La limitation de débit est une technique de sécurité et de gestion des ressources qui contrôle combien de requêtes un utilisateur, une adresse IP ou une clé API peut faire dans une fenêtre de temps spécifique. Elle est essentielle pour prévenir les abus, protéger contre les attaques par force brute et assurer une allocation équitable des ressources.
Les stratégies courantes de limitation de débit incluent :
- Fenêtre fixe : Simple réinitialisation du compteur à intervalles fixes (par exemple 100 requêtes par minute)
- Fenêtre glissante : Fenêtre de temps mobile pour une limitation plus précise
- Seau à jetons : Permet les rafales tout en maintenant un débit moyen
- Seau percé : Traite les requêtes à un débit fixe, mettant en file d'attente l'excédent
La limitation de débit peut être appliquée selon :
- L'adresse IP
- Le compte utilisateur ou la clé API
- L'endpoint ou le chemin URL
- Les attributs de requête (en-têtes, cookies)
Exemples
Un endpoint de connexion pourrait avoir une limite de 5 tentatives par minute par adresse IP. Après 5 tentatives de connexion échouées, les requêtes supplémentaires sont bloquées pour le reste de la minute, empêchant les attaques par force brute sur les mots de passe.
Questions fréquentes
Quel code de statut HTTP doit être retourné lors de la limitation de débit ?
Le code de statut HTTP standard pour la limitation de débit est 429 (Too Many Requests - Trop de requêtes). La réponse devrait inclure un en-tête Retry-After indiquant quand le client peut réessayer. De nombreux WAF supportent également des pages de réponse personnalisées ou des redirections.