Можешь объяснить концепцию rate limiting, описать, как он защищает ресурсы системы, и обсудить основные алгоритмы и уровни реализации, которые обычно используются в современных распределённых системах?

Что такое Rate Limiting

Rate limiting контролирует количество запросов, которые клиент или пользователь может сделать к системе в течение определенного временного окна. Это защищает от злоупотреблений, DDoS-атак и исчерпания ресурсов, обеспечивая справедливое использование и стабильность системы.

Как это работает

Счетчик отслеживает запросы для каждого клиента, обычно идентифицируемого по IP-адресу или API-ключу. Когда счетчик превышает допустимый порог в течение временного окна, дальнейшие запросы отклоняются — обычно с ответом HTTP 429 Too Many Requests.

Основные алгоритмы

• Token Bucket — клиенты накапливают токены со временем и тратят один на запрос; позволяет контролируемые всплески вплоть до ёмкости бакета
• Leaky Bucket — запросы обрабатываются с постоянной скоростью, сглаживая всплески трафика независимо от спроса на burst'ы
• Fixed Window Counter — считает запросы в фиксированном интервале (например, в минуту); просто, но уязвим для граничных всплесков
• Sliding Window Log — отслеживает временные метки отдельных запросов для более точного контроля, но требует больше памяти

Где применяется Rate Limiting

• API Gateway — наиболее распространённый слой; централизованный и не зависящий от языка программирования
• Load Balancer — защищает бэкенд-сервисы перед маршрутизацией запросов
• Application Level — детальный контроль по эндпоинтам или бизнес-логике

Распределённые системы

В распределённых системах используется общее хранилище вроде Redis для синхронизации счётчиков между несколькими узлами, что предотвращает обход лимитов клиентами путём попадания на разные серверы. Это обеспечивает единообразное применение лимитов в масштабе.