API bisa menjadi celah keamanan yang rentan dieksploitasi, terutama melalui serangan seperti brute force, DDoS, atau API abuse lainnya. Salah satu cara paling efektif untuk menjaga keamanan API adalah dengan menerapkan rate limiting.
Apa Itu Rate Limiting?
Rate limiting adalah teknik yang membatasi jumlah permintaan (request) yang dapat dilakukan oleh pengguna atau sistem dalam jangka waktu tertentu. Tujuannya adalah untuk mencegah overload pada server, membatasi aktivitas mencurigakan, dan memberikan pengalaman pengguna yang lebih stabil.
Mengapa Rate Limiting Penting?
Beberapa alasan mengapa rate limiting perlu diterapkan:
- Mencegah Penyalahgunaan API
Tanpa pembatasan, seseorang bisa membuat ribuan permintaan dalam hitungan detik, baik secara sengaja maupun melalui bot. Ini bisa membuat layanan tidak stabil atau bahkan lumpuh. - Melindungi dari Serangan DDoS
Rate limiting bisa membantu mendeteksi dan menghentikan lonjakan permintaan yang tidak wajar, ciri khas serangan Distributed Denial of Service. - Mengatur Beban Server
Dengan batas permintaan, server tidak kewalahan menerima trafik dalam jumlah besar secara tiba-tiba, sehingga performa tetap terjaga. - Mendukung Model Bisnis
Bagi layanan berbayar, rate limiting bisa membedakan hak akses berdasarkan paket langganan, seperti pengguna gratis vs pengguna premium.
Cara Menerapkan Rate Limiting
Berikut beberapa pendekatan umum dalam menerapkan rate limiting:
- Token Bucket
Sistem memberikan token pada setiap permintaan. Jika token tersedia, permintaan diproses. Jika tidak, ditolak. Token akan diisi ulang secara berkala. - Leaky Bucket
Permintaan disimpan dalam antrian dan diproses dengan kecepatan konstan. Jika antrian penuh, permintaan tambahan dibuang. - Fixed Window
Permintaan dihitung dalam periode waktu tetap, misalnya per menit. Jika melebihi batas dalam periode tersebut, permintaan ditolak. - Sliding Window
Mirip dengan fixed window, tetapi waktu evaluasi bergerak secara dinamis, menghasilkan kontrol yang lebih halus.
Contoh Implementasi Rate Limiting di Express.js
Untuk kamu yang menggunakan Node.js dengan Express, berikut cara sederhana menerapkan rate limiting:
const express = require('express');
const rateLimit = require('express-rate-limit');
const app = express();
// Atur limit: maksimal 100 permintaan per 15 menit per IP
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 menit
max: 100, // batas maksimum permintaan
message: "Terlalu banyak permintaan dari IP ini, coba lagi nanti.",
standardHeaders: true, // Kembalikan info limit di header
legacyHeaders: false, // Nonaktifkan header `X-RateLimit-*`
});
// Terapkan limiter ke semua rute API
app.use('/api/', limiter);
// Contoh endpoint
app.get('/api/data', (req, res) => {
res.send('Data berhasil diakses');
});
app.listen(3000, () => {
console.log('Server berjalan di http://localhost:3000');
});Penjelasan Singkat:
windowMs: Interval waktu untuk menghitung limit.max: Jumlah permintaan maksimum selamawindowMs.message: Tanggapan yang diberikan saat batas terlampaui.
Tips Tambahan untuk Keamanan API
Selain rate limiting, berikut langkah-langkah tambahan yang sebaiknya diterapkan:
- Gunakan API key atau OAuth token untuk autentikasi.
- Implementasikan logging dan monitoring terhadap aktivitas API.
- Validasi input dengan ketat untuk mencegah injeksi atau eksploitasi.
- Gunakan HTTPS agar komunikasi terenkripsi.
Kesimpulan
Rate limiting adalah langkah penting untuk menjaga keamanan, performa, dan keandalan API. Dengan membatasi jumlah permintaan yang masuk, kamu tidak hanya melindungi infrastruktur, tetapi juga meningkatkan pengalaman pengguna secara keseluruhan. Pastikan rate limiting menjadi bagian dari strategi pengamanan API kamu sejak awal pengembangan.
