Manajemen API Rate Limiting dengan Redis

Pendahuluan

Rate limiting adalah teknik yang digunakan untuk mengontrol jumlah permintaan (requests) yang dapat dilakukan ke API dalam jangka waktu tertentu. Ini bertujuan untuk mencegah penyalahgunaan API, melindungi server dari beban berlebih, dan memberikan pengalaman yang lebih konsisten bagi pengguna.

Pada artikel ini, kita akan membahas cara menerapkan rate limiting pada API PHP menggunakan Redis, sebuah penyimpanan data berbasis memori yang sangat cepat dan ideal untuk tugas seperti ini.

Langkah 1: Menginstal Redis dan Ekstensi PHP

Pastikan Redis telah diinstal di server Anda. Anda dapat menginstalnya menggunakan perintah berikut (untuk distribusi berbasis Debian/Ubuntu):

sudo apt-get install redis-server

Selanjutnya, instal ekstensi PHP Redis:

sudo apt-get install php-redis

Setelah instalasi selesai, pastikan Redis berjalan dan terhubung dengan PHP:

sudo systemctl start redis

Langkah 2: Mengimplementasikan Rate Limiting

Rate limiting bekerja dengan menetapkan batas tertentu pada jumlah permintaan per pengguna atau IP dalam interval waktu tertentu. Berikut adalah contoh implementasi sederhana:

<?php
// Koneksi ke Redis
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);

// Mendapatkan alamat IP pengguna
$client_ip = $_SERVER['REMOTE_ADDR'];

// Menentukan kunci unik untuk setiap pengguna
$key = "rate_limit:$client_ip";

// Batas permintaan dan interval waktu
$limit = 10; // Maksimum 10 permintaan
$interval = 60; // Dalam 60 detik

// Memeriksa jumlah permintaan saat ini
$current_requests = $redis->get($key);

if ($current_requests === false) {
    // Jika belum ada data, buat kunci dengan nilai awal 1 dan waktu kedaluwarsa
    $redis->set($key, 1, $interval);
    echo "Permintaan diizinkan. Ini adalah permintaan pertama Anda.";
} elseif ($current_requests < $limit) {
    // Jika belum mencapai batas, tambahkan jumlah permintaan
    $redis->incr($key);
    echo "Permintaan diizinkan. Anda telah melakukan $current_requests permintaan.";
} else {
    // Jika mencapai batas, tolak permintaan
    http_response_code(429); // Too Many Requests
    echo "Anda telah mencapai batas maksimum permintaan. Coba lagi setelah beberapa saat.";
}
?>

Dengan implementasi ini, Redis akan melacak jumlah permintaan dari setiap IP pengguna dan menolak permintaan jika melebihi batas dalam interval waktu tertentu.

Langkah 3: Menyesuaikan Batas dan Interval

Batas dan interval waktu dapat disesuaikan sesuai kebutuhan API Anda. Misalnya, untuk membatasi akses berdasarkan endpoint tertentu atau jenis pengguna (premium vs gratis), Anda dapat menambahkan logika tambahan untuk menentukan $key.

Contoh untuk membatasi akses per endpoint:

$endpoint = $_SERVER['REQUEST_URI'];
$key = "rate_limit:$client_ip:$endpoint";

Langkah 4: Menambahkan Header Rate Limit pada Respons

Untuk memberikan informasi yang lebih baik kepada pengguna API, Anda dapat menambahkan header ke dalam respons untuk menunjukkan jumlah permintaan yang tersisa dan waktu reset:

<?php
$remaining_requests = $limit - $current_requests;
$reset_time = $redis->ttl($key);

header("X-RateLimit-Limit: $limit");
header("X-RateLimit-Remaining: $remaining_requests");
header("X-RateLimit-Reset: $reset_time");
?>

Dengan header ini, pengguna API dapat melihat batas mereka dan waktu kapan mereka dapat mengirim permintaan lagi.

Langkah 5: Mengoptimalkan Rate Limiting

Untuk API dengan skala besar, pertimbangkan untuk menggunakan Redis Cluster untuk distribusi data yang lebih efisien. Selain itu, pastikan Anda menangani situasi di mana Redis tidak tersedia (fallback mekanisme) untuk menjaga ketersediaan API Anda.

Kesimpulan

Rate limiting adalah langkah penting untuk melindungi API Anda dari penyalahgunaan dan menjaga stabilitas sistem. Dengan menggunakan Redis, Anda dapat mengimplementasikan sistem rate limiting yang efisien dan dapat diskalakan.

Selanjutnya, kita akan membahas cara menerapkan logging pada API PHP untuk melacak aktivitas dan kesalahan. Baca selengkapnya di sini!

Bagikan Artikel ini