# Ratelimits & Quota SUMMARY: Ratelimit-beleid voor de Synapse API — Bearer-header (onbeperkt), ?key= (60/min), openbare eindpunten. KEY CONTEXT: Mind Key (Authorization: Bearer header) → NO rate limit Mind Key (?key= query param) → 60 req/min per IP JWT (Authorization: Bearer header) → NO rate limit Public endpoints (/tools/*, /docs, /health, /endpoints) → NO rate limit Rate limit headers: X-RateLimit-Limit, X-RateLimit-Remaining, Retry-After Recommendation: ALWAYS use Authorization header. Use ?key= only for URL-only tools. Ratelimits & Quota Synapse heeft een eenvoudig, voorspelbaar ratelimit-beleid dat is ontworpen om misbruik te voorkomen zonder legitiem gebruik in de weg te zitten. Ratelimit-beleid | Auth-methode | Limiet | Bereik | |--------------|--------|--------| | Mind Key () | Geen | Per-mind | | Mind Key () | 60 aanvragen/min | Per-IP | | JWT () | Geen | Per-gebruiker | | Openbare eindpunten | Geen | Globaal | > [!TIP] > Gebruik waar mogelijk altijd de -header. Deze heeft geen > ratelimit. Gebruik alleen voor tools die geen custom headers kunnen instellen. Ratelimit-headers Wanneer u -authenticatie gebruikt, bevatten responsen ratelimit-headers: [CODE BLOCK] Wanneer u de limiet overschrijdt: [CODE BLOCK] Als u een ratelimit raakt Als u een 429 krijgt: 1. Schakel over naar de Authorization-header (aanbevolen): [CODE BLOCK] 2. Of wacht seconden en probeer opnieuw. Waarom de ?key= limiet bestaat De -queryparameter is handig voor URL-only tools (browsers, -commando's), maar heeft beveiligings- en prestatie-implicaties: - Beveiliging: Queryparameters worden gelogd in server-accesslogs, browsergeschiedenis en Referer-headers. Beperking van gebruik verkleint de blootstelling. - Prestaties: Queryparameter-authenticatie vereist een IP-gebaseerde ratelimiter (Redis-lookup per verzoek), wat latency toevoegt. Header-authenticatie slaat dit over. - Misbruikpreventie: Een gelekte -URL kan worden gedeeld en gebombardeerd. De IP-limiet beperkt de schade. Aanbevolen patronen LLM-agents [CODE BLOCK] Browser-gebaseerde tools Als uw tool alleen URL's kan openen: [CODE BLOCK] MCP-server MCP-servers gebruiken altijd header-authenticatie via de -env-var — geen ratelimit van toepassing. Bulk-imports Voor bulkoperaties (bijv. 1000 herinneringen importeren), gebruik altijd header-authenticatie. Bulk-imports via raken de ratelimit binnen 1 minuut. Quota (op mind-niveau) Er zijn momenteel geen per-mind quota voor opslaggrootte of aantal herinneringen. Alle limieten zitten op het auth/IP-niveau, niet op dataniveau. Dit kan in de toekomst veranderen voor multi-tenant fairshare. Uw gebruik monitoren [CODE BLOCK] Volgende stappen - Authenticatie - Fouten & Foutafhandeling