Ограничение частоты запросов по IP/пользователю для защиты от брутфорса, DDoS, злоупотребления. Реализация: счетчики в Redis, заголовки X-RateLimit-*. Ответ 429 при превышении.