Ограничение частоты запросов от клиента (по IP, пользователю, API-ключу). Цели: защита от злоупотреблений, справедливое распределение ресурсов, защита от DDoS. Алгоритмы: фиксированное окно, скользящее окно, token bucket, leaky bucket. Ответ при превышении: 429 Too Many Requests, заголовки Retry-After, X-RateLimit-*. Реализация: в приложении (счетчики в Redis), на уровне Nginx/балансировщика, в API Gateway. Важно для публичных API.