اگر در حال توسعه یا نگهداری از یک RESTful API باشید، به احتمال زیاد به مشکل سوء استفاده از محدودیت نرخ یا درخواست‌های مخرب برخورد کرده‌اید. در این مواقع برخی از کاربران، خواسته یا ناخواسته تعداد زیادی درخواست را به API شما ارسال می‌کنند که منجر به اختلال در عملکرد، ایجاد خطرات امنیتی یا استفاده غیرمنصفانه از منابع می‌شود.

اما در این مواقع چطور می‌توانید از API خود در برابر حملات و سوءاستفاده محافظت کنید؟

در این پست به بررسی استراتژی‌ها و راهکارهای موثر برای مدیریت محدودیت نرخ استفاده می‌پردازیم.

محدودیت نرخ استفاده را تعریف و اجرا کنید

اولین، بدیهی‌ترین و موثرترین راهکار برای جلوگیری از سوءاستفاده و ارسال درخواست‌های مخرب، تعریف و اجرای محدودیت نرخ استفاده برای API شما است. 

نرخ‌های محدودیت قوانینی هستند که تعداد درخواست‌های مجاز برای یک کاربر یا کلاینت را در یک بازه زمانی محدود (برای مثال یک ثانیه، یک دقیقه، یک ساعت و…) مشخص می‌کنند. تعیین محدودیت نرخ به عوامل مختلفی از جمله منابع در دسترس، تعداد کاربران و عملکرد API بستگی دارد. با تعیین محدودیت نرخ برای API خودتان می‌توانید بار روی API را کنترل کرده، از استفاده منصفانه منابع توسط کاربران اطمینان حاصل کنید و جلوی رفتارهای مخرب خواسته یا ناخواسته را بگیرید.

شما می‌توانید محدودیت نرخ را بر اساس موئلفه‌های گوناگونی نظیر آدرس IP، کلید API، شناسه کاربر، اندپوینت، ریسورس و… تعریف کنید. همچنین امکان تعیین محدودیت نرخ پویا برای کاربران بر اساس تقاضا در لحظه و رفتار کاربران تعریف کنید. برای مثال با کمک محدودیت نرخ پویا می‌توانید در مواقعی که بار شبکه کم است، محدودیت نرخ را به صورت خودکار افزایش داده و در مواقعی که تعداد درخواست‌ها زیاد می‌شود، آن را کاهش دهید.

پیاده‌سازی هدرهای محدودیت نرخ

یکی دیگر از راهکارهای موثر در جلوگیری از سوء استفاده پیاده‌سازی هدرهای محدودیت نرخ برای API شما است. هدرهای محدودیت نرخ در واقع هدرهای HTTP هستند که وضعیت محدودیت نرخ نظیر تعداد درخواست‌های انجام‌شده، تعداد درخواست‌های باقی‌مانده و زمان ریست شدن محدودیت نرخ را به اطلاع کاربران و کلاینت‌ها می‌رسانند. با پیاده‌سازی هدر محدودیت نرخ سیاست‌های خود در این خصوص را به اطلاع کاربران می‌رسانید، به آن‌ها در نظارت و بهینه‌سازی استفاده کمک و بروز خطاهای ناخواسته جلوگیری می‌کنید. شما می‌توانید از هدرهای استاندارد یا شخصی‌سازی شده مانند X-RateLimit-Limit، X-RateLimit-Remaining، X-RateLimit-Reset یا Retry-After استفاده کنید.

رسیدگی به خطاهای محدودیت نرخ

علاوه بر موارد بالا، شما باید به خطاهای محدودیت نرخ API خودتان هم رسیدگی کنید. خطاهای محدودیت نرخ پاسخ‌های HTTP هستند که مشخص می‌کنند کاربر یا کلاینت از حد مجاز عبور کرده و تا زمان ریست شدن محدودیت نرخ اجازه ارسال درخواست ندارد. با اعلام خطای محدودیت نرخ و ارائه راهکار کاربر متوجه می‌شود که مشکل از کجاست و تمهیدات لازم را انجام می‌دهد. شما می‌توانید برای این موضوع از کدهای ۴۲۹ (درخواست‌های بیش از حد)، ۵۰۳ (سرویس در دسترس نیست) یا ۴۰۳ (عمل ممنوعه) استفاده کرده و یک پیام واضح در بدنه خطا قرار دهید.

نظارت و تحلیل ترافیک API

یک استراتژی کاربردی دیگر نظارت و تحلیل ترافیک API است. شما می‌توانید با نظارت و تحلیل ترافیک الگوی مصرف کاربران را طراحی کرده و ترندها و موارد غیر عادی و منبع آن را به سرعت شناسایی کرده و یک سیاست محدودیت نرخ استفاده موثر پیاده‌سازی کنید. ابزارها و روش‌های مختلفی مانند لاگ‌ها، متریکس و داشبورها برای نظارت و تحلیل ترافیک وجود دارد که می‌توانید بسته به نیاز خود از آن‌ها استفاده کنید.

پاسخ و جلوگیری از حمله‌ها و سوء استفاده کاربران

در آخر، شما باید برای پاسخ و جلوگیری از سوء استفاده‌ها و حمله‌ها آماده باشید. حمله‌ها به طور معمول در قالب جلوگیری از ارائه سرویس (DoS)، جلوگیری از ارائه سرویس توزیع‌یافته (DDos)، تزریق کدهای مخرب یا شنود اتفاق می‌افتد. در صورتی که برای مواجهه با این حملات آماده نباشید، به احتمال زیاد با مشکلاتی مانند افت کیفیت، توقف سرویس، از دست رفتن داده‌ها و افشای اطلاعات کاربران دست‌و‌پنجه نرم می‌کنید. راهکارهای مختلفی مانند بلاک کردن IP، احراز هویت، فیلتر کردن ترافیک، رمزنگاری و فایروال وجود دارد که به شما در جلوگیری و پاسخ به سوء استفاده‌ها و حملات کمک می‌کند.

محدودیت نرخ استفاده API ضروری است

پیاده‌سازی استراتژی‌های محدودیت نرخ استفاده هرچند زمان‌بر بوده و نیاز به صرف هزینه دارد، اما از ایجاد هزینه‌های گزاف غیرضروری در آینده جلوگیری می‌کند. حتی اگر به نظرتان API شما خیلی ساده است و یا کاربرد خاصی ندارد، ایجاد محدودیت نرخ استفاده API یک ضرورت است. کمترین خطری که API شما را تهدید می‌کند، افشای اطلاعات کاربران و کلاینت‌ها است که می‌تواند در یک دومینوی خطرناک، منرج به اتفاقات ناگواری شود. بنابراین از اولین مراحل طراحی API استراتژی‌های محدودیت نرخ استفاده را جدی بگیرید.