Limitação de API | Para que serve?

APIs (Interfaces de Programação de Aplicações) são os mensageiros que conectam diferentes aplicações de software. Isso permite que duas entidades separadas troquem dados ou funcionalidades. No entanto, quando uma aplicação se torna muito popular, as APIs e os servidores precisam trabalhar muito mais para fornecer seus serviços a mais usuários.

Limitação de taxa de API e controle de fluxo de API são dois termos frequentemente confundidos. No entanto, eles não compartilham o mesmo significado. Para entender mais sobre as diferenças entre controle de fluxo e limitação de taxa, verifique este artigo primeiro!

O Que é Controle de Fluxo de API?

O controle de fluxo de API é um mecanismo usado para controlar a taxa na qual as aplicações podem acessar uma API. Em outras palavras, o controle de fluxo de API limita o número de solicitações que podem ser feitas a uma API dentro de um período específico.

O controle de fluxo de API é usado para proteger a API de sobrecargas, garantindo que todos tenham um desempenho suave ao usar a API.

Como Funciona o Controle de Fluxo de API?

Para implementar o controle de fluxo de API, uma aplicação irá se apoiar em algoritmos para gerenciar o fluxo de solicitações recebidas.

O Algoritmo do Balde de Tokens

O Algoritmo do Balde de Tokens gira em torno de dois conceitos:

1. Tokens: Tokens são as "permissões" para acessar a API
2. Balde: Baldes mantêm um número limitado de tokens

No Algoritmo do Balde de Tokens, há alguns conceitos com os quais você deve se familiarizar:

• Permissão de Solicitação: Também chamada de limitação de taxa, a API define um limite de taxa que determina quantos tokens são adicionados ao balde por unidade de tempo (por exemplo: 10 tokens por segundo).
• Processamento de Solicitação: Sempre que uma solicitação é recebida, a API verifica o balde em busca de tokens restantes. Se houver tokens disponíveis, n número de tokens será removido, e a solicitação será processada.
• Balde Vazio, Reduza a Velocidade: Se o balde for encontrado vazio durante o processamento da solicitação, a solicitação será controlada. Isso significa que as aplicações precisarão esperar até que tokens suficientes sejam adicionados (com base no limite de taxa) antes de tentar fazer outra solicitação.

Capacidade de Pico

O Modelo do Balde de Tokens pode ser estendido com uma capacidade de pico; a capacidade de pico permite que o balde mantenha um número extra de tokens (pense nisso como um balde ligeiramente maior com alguns tokens já preenchidos).

Com a capacidade de pico adicionada, as aplicações podem enviar um pico de solicitações que excede o limite de taxa por um curto período antes de serem controladas. Geralmente, isso é implementado para lidar com grandes picos de tráfego.

Implementação do Controle de Fluxo de API

Há vários níveis em que o controle de fluxo de API pode ser implementado:

1. Baseado em Endereço IP: Limita solicitações provenientes de um endereço IP específico.
2. Baseado em Chave de API: Usa chaves de API únicas para identificar e controlar aplicações individuais.
3. Baseado em Usuário: Controle baseado em contas de usuário para um controle mais refinado.

Códigos de Erro e Tentativas Novas

Quando uma solicitação de API é controlada, a API geralmente retornará um código de resposta de erro (exemplo: 429 Muitas Solicitações). Aplicações bem desenvolvidas têm lógica de repetição implementada com mecanismos de espera, forçando o usuário a esperar por um tempo progressivamente mais longo antes de ser controlado.

Vantagens do Controle de Fluxo de API

O controle de fluxo de API oferece várias vantagens significativas que garantem a operação suave e estável de uma API tanto para o provedor quanto para seus usuários. Aqui está uma análise de seus principais benefícios:

1. Desempenho e Estabilidade:

• Previne Sobrecarga: Volumes de solicitações incontroláveis podem sobrecarregar o servidor API, levando a tempos de resposta lentos ou até mesmo quedas. O controle de fluxo de API atua como uma salvaguarda, prevenindo solicitações excessivas de derrubar o sistema. Os usuários experimentam desempenho consistente à medida que a API pode lidar com solicitações de forma eficiente.

2. Justiça e Gerenciamento de Recursos:

• Acesso Igualitário: O controle de fluxo de API garante que nenhuma aplicação ou usuário único monopolize todos os recursos da API. Limitando as taxas de solicitação, distribui o acesso de forma justa entre todos os usuários, impedindo alguns de degradar a experiência dos outros.

3. Escalabilidade e Eficiência:

• Carga Previsível: O controle de fluxo de API ajuda a API a lidar com cargas de trabalho previsíveis. Ao regular o fluxo de solicitações, o provedor de API pode otimizar recursos e infraestrutura para os padrões de tráfego esperados. Isso permite uma escalabilidade mais suave quando a demanda aumenta.

4. Segurança:

• Mitigação de DoS: Ataques de Negação de Serviço (DoS) visam sobrecarregar um sistema com solicitações, tornando-o indisponível para usuários legítimos. O controle de fluxo pode mitigar tais ataques, identificando e controlando taxas de solicitação anormalmente altas de uma única fonte.

5. Melhoria da Experiência do Usuário:

• Tempos de Resposta Consistentes: Ao prevenir sobrecarga, o controle garante que os usuários experimentem tempos de resposta consistentes para suas solicitações de API. Isso se traduz em uma experiência mais rápida e confiável para todos os usuários que dependem da API.

6. Monitoramento da Saúde da Aplicação:

• Identificação de Padrões de Uso: Dados de controle podem ser analisados para entender padrões de uso e identificar questões potenciais. Por exemplo, altas taxas de controle para aplicações específicas podem indicar oportunidades de otimização para essas aplicações.

7. Incentiva o Uso Responsável:

• Promove Eficiência: O controle incentiva os desenvolvedores a projetar aplicações que utilizem a API de forma eficiente. Limitando solicitações, os desenvolvedores são incentivados a otimizar seu código e evitar chamadas desnecessárias.

Exemplos de Codificação do Controle de Fluxo de API no Lado do Servidor

O exemplo de código Python abaixo demonstra o controle de fluxo de API usando o Método do Balde de Tokens.

class TokenBucket:
  def __init__(self, capacity, refill_rate):
    self.capacity = capacity  # Número máximo de tokens
    self.tokens = capacity  # Número atual de tokens
    self.refill_rate = refill_rate  # Tokens adicionados por unidade de tempo

  def get_token(self, current_time):
    # Simula o reabastecimento de tokens com base no tempo decorrido
    elapsed_time = current_time - self.last_refill_time
    self.tokens = min(self.capacity, self.tokens + (elapsed_time * self.refill_rate))
    self.last_refill_time = current_time

    if self.tokens > 0:
      self.tokens -= 1
      return True
    else:
      return False

# Exemplo de uso
bucket = TokenBucket(5, 1)  # 5 tokens, reabastece 1 por segundo
request_time = time.time()  # Obtém o tempo atual

if bucket.get_token(request_time):
  # Processa a solicitação (lógica omitida por brevidade)
  print("Solicitação permitida!")
else:
  print("Solicitação controlada, tente novamente mais tarde!")

Explicação do Código:

1. A TokenBucket classe representa o balde com uma capacity e uma refill_rate.
2. O método get_token verifica o tempo atual e simula o reabastecimento do balde com base no tempo decorrido e na taxa de reabastecimento.
3. Se houver um token disponível (tokens é maior que 0), ele remove um token e permite a solicitação.
4. Se o balde estiver vazio, a solicitação é controlada (rejeitada).

Apidog - Faça Solicitações Ilimitadas a APIs

Quando você está testando APIs para observar sua resposta e desempenho, pode precisar fazer solicitações sem parar. A maioria das ferramentas de API limita seus usuários a um certo número de solicitações que podem fazer por dia. No entanto, com Apidog, você pode continuar a fazer solicitações a uma API desde que não tenha alcançado o limite de taxa da API.

Com Apidog, uma ferramenta de desenvolvimento de API tudo-em-um, você pode construir, simular, testar e documentar APIs. Apidog facilita todos esses processos vitais do ciclo de vida de uma API sem precisar instalar ou baixar ferramentas adicionais de API.

Construindo APIs com Apidog

Com Apidog, você pode criar APIs por conta própria. Seja em nichos ou amplamente aplicáveis em muitas situações, cabe a você decidir do que sua API é capaz.

Comece pressionando o botão Nova API, conforme mostrado na imagem acima.

Em seguida, você pode selecionar muitas das características da API. Nesta página, você pode:

• Definir o método HTTP (GET, POST, PUT ou DELETE)
• Definir a URL da API (ou endpoint da API) para interação cliente-servidor
• Incluir um/múltiplos parâmetros a serem passados na URL da API
• Fornecer uma descrição da funcionalidade que a API se propõe a fornecer. Aqui, você também pode descrever o limite de taxa que pretende implementar na sua API.

Quanto mais detalhes você puder fornecer na fase de design, mais descritiva será a documentação da sua API, conforme mostrado na próxima seção deste artigo.

Para fornecer alguma assistência na criação de APIs no caso de esta ser a sua primeira vez criando uma, você pode considerar ler estes artigos.

Uma vez que você tenha finalizado todas as necessidades básicas para fazer uma solicitação, você pode tentar fazer uma solicitação clicando em Enviar. Você deverá então receber uma resposta na parte inferior da janela do Apidog, conforme mostrado na imagem acima.

A interface do usuário simples e intuitiva permite que os usuários vejam facilmente a resposta obtida da solicitação. Também é importante entender a estrutura da resposta, pois você precisa corresponder o código tanto no lado do cliente quanto no lado do servidor.

Gere Documentação de API Descritiva com Apidog

Com Apidog, você pode criar rapidamente documentação de API que inclua tudo o que os desenvolvedores de software precisam com apenas alguns cliques.

Seta 1 - Primeiro, pressione o botão Compartilhar no lado esquerdo da janela do aplicativo Apidog. Você deverá então conseguir ver a página "Documentos Compartilhados", que deve estar vazia.

Seta 2 - Pressione o botão + Novo abaixo de Sem Dados para começar a criar sua primeira documentação de API do Apidog.

Selecione e Inclua Propriedades Importantes na Documentação da API

Apidog oferece aos desenvolvedores a opção de escolher as características da documentação da API, como quem pode visualizar sua documentação de API e definir uma senha para o arquivo, para que apenas indivíduos ou organizações escolhidos possam visualizá-la.

Visualize ou Compartilhe Sua Documentação de API

Apidog compila os detalhes do seu projeto de API em uma documentação de API que pode ser visualizada através de um URL de site. Tudo o que você precisa fazer é distribuir o URL para que outros possam visualizar sua documentação de API!

Se mais detalhes forem necessários, leia este artigo sobre como gerar documentação de API usando Apidog:

Conclusão

O controle de fluxo de API desempenha um papel crítico na manutenção de um ecossistema de API saudável e funcional. Ao regular o fluxo de solicitações recebidas, protege a API de sobrecargas, garantindo desempenho suave e tempos de resposta consistentes para todos os usuários. Essa justiça se estende ao gerenciamento de recursos, impedindo que uma única aplicação monopolize recursos e degrade a experiência de outros.

Além disso, o controle fortalece a segurança ao mitigar ataques de negação de serviço que visam sobrecarregar o sistema. Em essência, o controle de fluxo de API cria uma situação em que tanto os provedores de API quanto os usuários saem ganhando, promovendo um ambiente confiável e eficiente para o desenvolvimento de aplicações e troca de dados.

Apidog pode ser a ferramenta de API ideal para garantir que suas APIs estejam funcionando suavemente. Juntamente com a documentação do Apidog, você pode descrever explicitamente qual é o limite de taxa da sua API, assim prevenindo que os usuários abusem de sua API.