Request Throtteling

Motiviation

Bei der API-Drosselung soll die Anzahl der Anfragen an die API, die ein Benutzer in einem bestimmten Zeitraum stellen kann, begrenzt werden. Hintergrund könnte zum Beispiel sein, dass Missbrauch eingegrenzt werden soll. API-Drosselung an sich ist allerdings keine geeignete Sicherheitsmaßnahme gegen Brute-Force oder DDOS-Attacke

Wie geht das?

Throtteling in DRF

Um API-Endpunkte mit einer Drosselung zu versehen,

AnonRateThrottle

Die AnonRateThrottle drosselt nur unauthentifizierte Benutzer. Die IP-Adresse der eingehenden Anfrage wird verwendet, um einen eindeutigen Schlüssel für die Drosselung zu generieren.

UserRateThrottle

Die UserRateThrottle drosselt authentifizierte Benutzer auf eine bestimmte Rate von Anfragen über die API. Die Benutzerkennung wird verwendet, um einen eindeutigen Schlüssel für die Drosselung zu generieren. Bei nicht authentifizierten Anfragen wird die IP-Adresse der eingehenden Anfrage verwendet, um einen eindeutigen Schlüssel für die Drosselung zu generieren.