SAP云平台API管理提供了许多现成的API安全最佳实践，可以根据您的企业需求进行定制。这些API安全最佳实践包括用于身份验证和授权、流量管理等的安全策略。

速率限制或流量管理是控制API端点发送或接收的流量速率的过程。速率限制可以有很多种方式，例如基于对API的点击次数限制调用给定时间范围内的API，限制对给定时间范围内突发峰值的调用，限制对太多并发连接的调用，自助免费建站，限制对大量数据的调用。在SAP云平台、API管理中，我们为所有这些用例提供现成的安全策略，如下所示：如下所示：-

配额政策允许根据给定时间范围内的呼叫数进行速率限制尖峰阻止策略允许对呼叫中的突然尖峰进行速率限制并发速率限制允许对到目标终结点的并发连接数进行速率限制

API速率限制减少了可能导致拒绝服务的大量API请求，并记录为OWASP中的剩余安全保护之一。根据RFC，当应用API速率限制时，API应该返回429个过多的请求。在本博客中，我们描述了如何使用SAP API Cloud Platform API Management中的配额策略应用速率限制，然后将其扩展以在配额过期时返回429状态码和重试间隔的错误消息。在配额间隔到期后，客户端可以使用重试间隔再次进行API调用

前提条件

SAP云平台API管理租户

启动API门户

登录您的SAP云平台API管理帐户（例如https://account.hanatrial.ondemand.com/cockpit).导航到"服务"选项卡，搜索API管理服务磁贴，然后单击打开API管理服务。

单击"访问API门户"链接打开API门户。

创建API代理

从汉堡包图标导航到"定义"，然后选择选项卡API并单击创建按钮

为任何端点示例服务创建新的API代理(https://sapes4.sapdevcenter.com/sap/opu/odata/IWBEP/GWSAMPLE\u基本/)从SAP Gateway ES4系统。提供API代理详细信息，云计算与大数据，如代理名称、标题、，描述和基本路径，然后单击创建按钮

单击保存和部署按钮以激活API代理。

通过此操作，我们激活了一个连接到SAP网关OData API的API代理https://sapes4.sapdevcenter.com/sap/opu/odata/IWBEP/GWSAMPLE\u基本/公共领域的任何人都可以访问无任何API速率限制。

更新现有API代理

从hamburger图标导航到Define，然后选择API选项卡，然后选择将应用API速率限制的API代理。

速率限制API通过配额策略调用

在本节中，物联网培训，我们将应用SAP云平台API管理的配额策略将API调用限制为每分钟2次。

单击新建API代理的策略按钮

单击策略设计器中的编辑按钮，从ProxyEndPoint中选择PreFlow，然后单击Traffic Management Policys（流量管理策略）段下可用配额策略旁边的+按钮。

在Create Policy（创建策略）对话框中，提供保单名称申请专利限制单击添加按钮。

策略执行的默认行为是出错时退出执行，在这种情况下即使出错也会继续执行，然后通过RaiseFault policy在下一个执行步骤中处理错误，因此我们将设置标志continueOnError如策略设计器的以下片段

所示，从ProxyEndPoint中选择PreFlow，然后单击"中介策略"段下可用的"引发故障策略"旁边的"+"按钮。

在"创建策略"屏幕中指定策略名称，如return429error，然后单击"策略编辑器"中的"添加"按钮

，选择新创建的return429error策略并添加以下策略片段以返回错误，状态代码为429，消息请求过多

RaiseFault策略允许将自定义错误消息返回到客户端。上面的策略片段将返回错误响应，企业软件正版化，HTTP状态设置为429，原因短语设置为太多请求。此外，重试时间将设置为RFC中描述的配额时间间隔到期设置，为此，我们使用了流变量ratelimit.{quotapolicyname}。到期时间

上述添加的return429error raise fault策略仅在配额错误的情况下执行，因此在中的Condition String字段中执行复制粘贴的条件值ratelimit.applyRateLimit.failed失败="正确"。此条件确保只有在超出配额时，错误才会返回给API调用方。

单击"更新"按钮保存策略更改

单击"保存"按钮保存对API代理的更改

通过此操作，我们使用SAP Cloud API Management成功设置了API速率限制，如中所述OWASP中的REST安全保护并遵循错误处理的速率限制RFC标准。

最后测试流

从hamburger图标导航到测试选项卡

从API列表搜索要测试的API代理，如GatewayServiceRestrictedAccess，然后单击要测试的API测试

多次点击发送按钮，应用API速率限制

点击Headers选项卡查看Retry After header值

进一步阅读

API security best practices博客系列的下一部分-OData批量调用的速率限制API安全最佳实践博客系列的上一部分–基于IP地址限制对API的访问流量管理-峰值停止和并发速率限制通过SAP云平台API管理创建自己的错误代码有关SAP云平台API管理的更多博客，物联网技术，请访问SAP社区