# Limites de débit & quotas SUMMARY: Politique de limites de débit pour l'API Synapse — en-tête Bearer (illimité), ?key= (60/min), endpoints publics. KEY CONTEXT: Mind Key (Authorization: Bearer header) → NO rate limit Mind Key (?key= query param) → 60 req/min per IP JWT (Authorization: Bearer header) → NO rate limit Public endpoints (/tools/*, /docs, /health, /endpoints) → NO rate limit Rate limit headers: X-RateLimit-Limit, X-RateLimit-Remaining, Retry-After Recommendation: ALWAYS use Authorization header. Use ?key= only for URL-only tools. Limites de débit & quotas Synapse a une politique de limites de débit simple et prévisible, conçue pour prévenir les abus sans gêner les usages légitimes. Politique de limites de débit | Méthode d'auth | Limite | Portée | |-------------|-------|-------| | Mind Key () | Aucune | Par mind | | Mind Key () | 60 req/min | Par IP | | JWT () | Aucune | Par utilisateur | | Endpoints publics | Aucune | Globale | > [!TIP] > Utilisez toujours l'en-tête lorsque c'est possible. Il > n'a aucune limite de débit. N'utilisez que pour les outils qui ne peuvent > pas définir d'en-têtes personnalisés. En-têtes de limite de débit Lorsque vous utilisez l'authentification , les réponses incluent des en-têtes de limite de débit : [CODE BLOCK] Lorsque vous dépassez la limite : [CODE BLOCK] Que faire en cas de limite de débit Si vous obtenez un 429 : 1. Passez à l'en-tête Authorization (recommandé) : [CODE BLOCK] 2. Ou attendez secondes et réessayez. Pourquoi la limite ?key= existe Le paramètre de requête est pratique pour les outils n'utilisant que des URLs (navigateurs, commandes ), mais il a des implications de sécurité et de performance : - Sécurité : Les paramètres de requête sont consignés dans les journaux d'accès serveur, l'historique du navigateur et les en-têtes Referer. Limiter l'usage réduit l'exposition. - Performance : L'authentification par paramètre de requête nécessite un limiteur de débit basé sur l'IP (recherche Redis par requête), ce qui ajoute de la latence. L'authentification par en-tête l'évite. - Prévention des abus : Une URL fuite pourrait être partagée et martelée. La limite par IP contient le rayon d'impact. Schémas recommandés Agents LLM [CODE BLOCK] Outils basés sur navigateur Si votre outil ne peut qu'ouvrir des URLs : [CODE BLOCK] Serveur MCP Les serveurs MCP utilisent toujours l'authentification par en-tête via la variable d'environnement — aucune limite de débit ne s'applique. Imports en masse Pour les opérations en masse (ex. import de 1000 mémoires), utilisez toujours l'authentification par en-tête. Les imports en masse via atteindront la limite de débit en moins d'une minute. Quotas (niveau mind) Il n'y a actuellement aucun quota par mind sur la taille de stockage ou le nombre de mémoires. Toutes les limites se situent au niveau auth/IP, pas au niveau des données. Cela pourrait changer à l'avenir pour l'équité multi-tenant. Surveiller votre utilisation [CODE BLOCK] Prochaines étapes - Authentification - Erreurs & gestion des erreurs