Rate limiting is een techniek die het aantal verzoeken (requests) beperkt dat een gebruiker, IP-adres of API-client binnen een bepaalde periode naar je server mag sturen. Stel je voor dat je webshop 100 aanvragen per minuut toestaat per gebruiker. Stuurt iemand verzoek nummer 101? Dan krijgt die een foutmelding of een wachttijd. Voor MKB-bedrijven met een website, webshop of API-koppeling is dit de digitale poortwachter die voorkomt dat je server vastloopt door overbelasting, bots of kwaadwillenden.
Hoe rate limiting werkt in de praktijk
Een rate limiter houdt bij hoeveel verzoeken een specifieke bron (bijvoorbeeld een IP-adres, API-key of ingelogde gebruiker) binnen een tijdsvenster doet. Dit tijdsvenster kan een seconde, minuut of uur zijn. Veelgebruikte strategieën zijn het token bucket-algoritme, waarbij elke gebruiker een 'emmer' met tokens krijgt die langzaam bijgevuld wordt, en het sliding window-principe, dat een glijdend gemiddelde bijhoudt. Zodra de limiet bereikt is, blokkeert het systeem nieuwe verzoeken tijdelijk of vertraagt het de respons. In een professionele webontwikkelomgeving configureer je dit vaak via de webserver (zoals Nginx of Apache), een CDN of binnen de applicatiecode zelf.
Waarom rate limiting essentieel werd voor moderne websites
Rate limiting ontstond in de vroege jaren van API-economie, toen diensten zoals Twitter en Google merkten dat ongecontroleerd gebruik hun infrastructuur kon lamleggen. Een enkele bot die duizenden verzoeken per seconde afvuurt, kan een server net zo effectief platleggen als een DDoS-aanval. Voor Nederlandse webshops en SaaS-platforms is dit nog steeds actueel: credential stuffing-aanvallen, scraping door concurrenten en onbedoelde loops in externe koppelingen komen dagelijks voor. Rate limiting is daarom geen luxe maar een basisbescherming, vergelijkbaar met authentication en authorization.
Wat rate limiting oplevert voor jouw bedrijf
Voor een MKB-webshop met 5.000 bezoekers per dag voorkomt rate limiting dat een enkele bot je checkout-pagina 10.000 keer per minuut oproept en daarmee je hosting overbelast. Voor een B2B-platform met API-koppelingen naar klanten beschermt het je tegen onbedoelde loops in externe software die je server onnodig belasten. Daarnaast helpt het bij eerlijke verdeling: geen enkele gebruiker kan alle beschikbare capaciteit claimen. In de praktijk zien we bij WordPress-hostingtrajecten vaak dat rate limiting op serverniveau de uptime verbetert en de kosten verlaagt, omdat je minder overhead nodig hebt voor piekbelasting. Volgens Google Developers helpt rate limiting ook bij het beheersen van crawl budget, zodat zoekmachines efficiënter je site indexeren.