Rate limiting beperkt het aantal API-verzoeken dat een client in een bepaalde tijd mag doen, bijvoorbeeld 100 requests per minuut. Dit beschermt tegen misbruik, DDoS en overbelasting. Implementaties geven vaak statuscode 429 met een Retry-After-header terug.