速率限制(Rate limiting)
速率限制与枚举防护
我们的系统对服务器到服务器的 API 调用不做速率限制,会根据你的业务需求自动扩展。
但对于浏览器/APP 到服务器的 API 调用,为防止枚举攻击(如恶意遍历银行卡号),我们会做一定的速率限制。
枚举防护
为防止枚举攻击,系统对以下情况做了限制:
| Token & Endpoints | Limit |
|---|---|
| 带 embed scope 的 JWT token 用于如下接口: | 该限制用于防止前端集成时遍历卡号/礼品卡号,服务器到服务器调用不受影响。 |
| 用于如下接口: | 该限制用于 Secure Fields 存储卡信息,防止滥用 session ID。 |
速率限制
当前这些接口的速率限制约为每个 token 每分钟 50 次。后续可能根据安全情况调整。
建议每次结账都生成新的 checkout session ID 或 JWT token,避免被限流。