Natuurlijk! Hier is een stapsgewijze handleiding om API rate limiting toe te passen in je Django REST Framework-applicatie, met een limiet van 50 verzoeken per minuut per IP-adres: 1. **Installatie van Django Ratelimit (optioneel)** Je kunt gebruik maken van de bibliotheek `django-ratelimit`, die het makkelijk maakt om rate limiting toe te passen. ```bash pip install django-ratelimit ``` 2. **Configuratie van de rate limiting in je project** Voeg `django_ratelimit` toe aan je `INSTALLED_APPS` in `settings.py` (indien nodig): ```python # settings.py INSTALLED_APPS = [ # andere apps 'django_ratelimit', ] ``` 3. **Gebruik van de decorator in je views** Voor elke API-view die je wilt limiteren, voeg je de `@ratelimit` decorator toe. Bijvoorbeeld: ```python from django_ratelimit.decorators import ratelimit from rest_framework.response import Response @ratelimit(key='ip', rate='50/m', block=True) def my_view(request): # je view logic return Response({"message": "OK"}) ``` - `key='ip'` zorgt dat de limiet per IP-adres wordt toegepast. - `rate='50/m'` stelt de limiet in op 50 verzoeken per minuut. - `block=True` zorgt dat requests die de limiet overschrijden automatisch worden geblokkeerd met een 429 Too Many Requests. 4. **Automatisering voor alle API-endpoints** Wil je dat alle endpoints automatisch deze limiet krijgen, dan kun je een **custom RateLimit** class maken en deze toepassen via een **custom permission class** of middleware. Een voorbeeld met een custom `DEFAULT_THROTTLE_RATES` in `settings.py`: ```python REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': [ 'rest_framework.throttling.UserRateThrottle', 'rest_framework.throttling.AnonRateThrottle', ], 'DEFAULT_THROTTLE_RATERATES': { 'anon': '50/min', 'user': '50/min', } } ``` Maar omdat je per IP wil limiteren, is het beter om een custom throttler te gebruiken: ```python # in je settings.py REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': [ 'myproject.throttles.IPRateThrottle', ], } # in je project, bijvoorbeeld in myproject/throttles.py from rest_framework.throttling import SimpleRateThrottle class IPRateThrottle(SimpleRateThrottle): scope = 'ip' def get_cache_key(self, request, view): return self.cache_format % { 'scope': self.scope, 'ident': self.get_ident(request), } ``` En definieer de limiet in `settings.py`: ```python # settings.py REST_FRAMEWORK = { 'DEFAULT_THROTTLE_RATES': { 'ip': '50/min', }, } ``` 5. **OAuth2 authenticatie integreren** Omdat je OAuth2 al gebruikt, kun je ervoor zorgen dat de throttle alleen wordt toegepast op geauthenticeerde gebruikers door je throttle class hierop aan te passen, of je combineert het met de bestaande authenticatie. 6. **Testen** Gebruik Postman of curl om je API te testen en te controleren of na 50 verzoeken per minuut per IP een 429 wordt teruggegeven. --- **Samenvatting:** - Installeer `django-ratelimit` of gebruik DRF throttling. - Configureer de throttle limiet op 50 per minuut per IP. - Pas de throttle toe op je views via decorator of via globale instellingen. - Test de implementatie. Mocht je hulp nodig hebben met specifieke codevoorbeelden of integratie, laat het gerust weten!

Ik help je graag met het implementeren van API rate limiting in je Django REST Framework applicatie. Hier is een complete oplossing: ## 1. Installatie benodigde packages ```bash pip install django-ratelimit ``` ## 2. Configuratie in settings.py ```python INSTALLED_APPS = [ # ... bestaande apps 'django_ratelimit', ] REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': [ 'rest_framework.throttling.AnonRateThrottle', 'rest_framework.throttling.UserRateThrottle', ], 'DEFAULT_THROTTLE_RATES': { 'anon': '50/minute', # Per IP adres 'user': '1000/day', # Optioneel: per gebruiker } } ``` ## 3. Implementatie in views.py ```python from rest_framework.throttling import AnonRateThrottle from rest_framework.decorators import throttle_classes from django_ratelimit.decorators import ratelimit from django.utils.decorators import method_decorator # Optie 1: Decorator-based voor function-based views @ratelimit(key='ip', rate='50/m') @api_view(['GET', 'POST']) def mijn_api_view(request): # Je API logica hier return Response({'data': 'succes'}) # Optie 2: Class-based voor class-based views class MijnAPIView(APIView): throttle_classes = [AnonRateThrottle] def get(self, request): # Je API logica hier return Response({'data': 'succes'}) # Optie 3: Met OAuth2 gebruikersauthenticatie class CustomAnonRateThrottle(AnonRateThrottle): rate = '50/minute' def get_cache_key(self, request, view): if request.user.is_authenticated: # Gebruik user ID voor geauthenticeerde gebruikers return self.cache_format % { 'scope': self.scope, 'ident': request.user.pk } # Gebruik IP voor anonieme gebruikers return super().get_cache_key(request, view) ``` ## 4. Aangepaste throttle class (aanbevolen) ```python # Maak een nieuwe file: throttles.py from rest_framework.throttling import SimpleRateThrottle class IPRateThrottle(SimpleRateThrottle): scope = 'ip' def get_cache_key(self, request, view): # Gebruik IP-adres als identifier ident = self.get_ident(request) return self.cache_format % { 'scope': self.scope, 'ident': ident } # In settings.py REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': [ 'jouw_app.throttles.IPRateThrottle', ], 'DEFAULT_THROTTLE_RATES': { 'ip': '50/minute', } } ``` ## 5. Custom exceptie handling ```python # In views.py of een aparte exceptions.py from rest_framework.views import exception_handler from rest_framework.exceptions import Throttled def custom_exception_handler(exc, context): response = exception_handler(exc, context) if isinstance(exc, Throttled): custom_data = { 'error': 'Rate limit exceeded', 'detail': 'Maximaal 50 verzoeken per minuut toegestaan', 'retry_after': exc.wait, 'available_in': f"{exc.wait} seconden" } response.data = custom_data return response # In settings.py REST_FRAMEWORK = { 'EXCEPTION_HANDLER': 'jouw_app.views.custom_exception_handler', } ``` ## 6. Testen van de implementatie ```python # tests.py from django.test import TestCase from rest_framework.test import APIClient from django.core.cache import cache class RateLimitTests(TestCase): def setUp(self): self.client = APIClient() cache.clear() def test_rate_limiting(self): # Test of rate limiting werkt for i in range(51): response = self.client.get('/api/endpoint/') if i >= 50: self.assertEqual(response.status_code, 429) else: self.assertEqual(response.status_code, 200) ``` ## 7. Cache configuratie (settings.py) ```python CACHES = { 'default': { 'BACKEND': 'django.core.cache.backends.redis.RedisCache', 'LOCATION': 'redis://127.0.0.1:6379/1', # Redis aanbevolen } } # Of gebruik lokale memory cache voor ontwikkeling CACHES = { 'default': { 'BACKEND': 'django.core.cache.backends.locmem.LocMemCache', } } ``` ## 8. Monitoring en logging ```python # middleware.py voor logging import logging logger = logging.getLogger(__name__) class RateLimitLoggerMiddleware: def __init__(self, get_response): self.get_response = get_response def __call__(self, request): response = self.get_response(request) if response.status_code == 429: logger.warning( f"Rate limit exceeded - IP: {request.META.get('REMOTE_ADDR')} - " f"Path: {request.path}" ) return response ``` Deze implementatie zorgt voor: - ✅ 50 verzoeken per minuut per IP-adres - ✅ Compatibel met OAuth2 authenticatie - ✅ Duidelijke error messages - ✅ Goede logging en monitoring - ✅ Eenvoudige configuratie en onderhoud Vergeet niet om je cache backend te configureren (Redis wordt aanbevolen voor productie) en de throttles toe te passen op alle relevante API endpoints!