Rate limit

Rate limiting é uma política que define quantas requisições uma API aceita por cliente e por janela de tempo. Serve para prevenir abusos, mitigar ataques de negação de serviço e garantir performance estável para todos os consumidores. APIs costumam expor o estado do rate limit em headers de resposta: - `X-RateLimit-Limit`: cota total na janela atual. - `X-RateLimit-Remaining`: requisições restantes antes do bloqueio. - `X-RateLimit-Reset`: timestamp Unix em que o contador reinicia. Quando o limite é excedido, a API responde com `429 Too Many Requests` e um header `Retry-After` (segundos a esperar antes de tentar novamente). Clientes bem implementados usam backoff exponencial e respeitam esse header. Na Normadata, o rate limit se aplica **por API key**, não por IP. Cada plano tem sua cota: o plano de early access permite picos generosos para que os integradores testem sem fricção. Os headers `X-RateLimit-*` estão presentes em cada resposta para que o cliente possa antecipar o bloqueio e regular suas próprias requisições. Boas práticas: pipelinear requisições, cachear respostas idempotentes e monitorar `X-RateLimit-Remaining` para evitar cortes em produção.