Skip to main content
Auth0 limite l’utilisation de ses services afin de garantir des performances optimales et une protection contre les , les erreurs techniques ou un trafic légitime excessif.  Nous vous recommandons de consulter la façon dont Auth0 applique ces limites afin de configurer votre application pour offrir la meilleure expérience utilisateur.
Pour connaître les limites de débit associées à votre compte, consultez Configurations des limites de débit pour voir une matrice de toutes les politiques de limitation du débit.

Introduction aux limites de débit

Auth0 impose des limites pour protéger les services contre un volume excessif de requêtes et protéger les clients contre les interruptions de service ou la dégradation des performances. Auth0 surveille et, dans bien des cas, applique un ensemble de limites, notamment :
  • Requêtes vers les environnements (Private Cloud Only)
  • Requêtes vers les locataires via l’API ou un point de terminaison API
  • Limites diverses

Limites de requêtes de l’environnement (Private Cloud seulement)

Dans Private Cloud, les limites de requêtes de l’environnement sont établies en fonction du niveau de performance de Private Cloud. Pour en savoir plus, consultez Private Cloud for AWS ou Private Cloud for Azure. À l’heure actuelle, les limites de débit de l’environnement Private Cloud correspondent à la charge maximale sous laquelle Auth0 respecte les SLA. Toutefois, pour le moment, Auth0 n’impose ces limites et n’avise les clients que lorsque les limites de débit sont dépassées pour un locataire précis dans l’environnement. Dans la plupart des cas d’utilisation de Private Cloud, où les clients maintiennent un seul locataire de production, cela ne pose pas de problème; toutefois, les cas d’utilisation qui provisionnent plus d’un locataire de production doivent tenir compte de la charge prévue de l’ensemble des locataires de l’environnement et mettre en place une surveillance supplémentaire au besoin.
FonctionnalitéAuthentication APIToutes les autres API (y compris la Management API)
Limites de débit du locataireTous les locataires partagent une limite globale à l’échelle de l’environnement pour l’API, mais la limite de débit de l’environnement constitue un plafond strict. Si la limite de l’environnement est dépassée en raison de la charge combinée de plusieurs locataires, les requêtes excédentaires feront l’objet d’une limitation de débit.Les limites de débit des locataires sont appliquées indépendamment, et la limite de débit de l’environnement sert de seuil indiquant un risque de dégradation du rendement et d’incidence sur les SLA, mais n’entraîne pas directement une limitation de débit au niveau du locataire.
Dépassement de la limite de débit de l’environnement (exemple)Avec une limite d’environnement de 1500 rps, un locataire 1 à 1400 rps et un locataire 2 à 900 rps (pour un total combiné de 2300 rps) entraîneront la limitation de débit de 800 requêtes.Avec une limite d’environnement de 1500 rps, un locataire 1 à 1400 rps et un locataire 2 à 900 rps (pour un total combiné de 2300 rps) n’entraîneront pas de limitation de débit pour les locataires individuels, mais l’environnement dans son ensemble pourrait subir une baisse de rendement et d’éventuels problèmes liés aux SLA.
Le dépassement d’une limite de débit de l’environnement invalide l’accord de niveau de service (SLA).
Pour les considérations relatives aux essais de charge de Private Cloud, consultez Private Cloud on AWS et Private Cloud on Azure.

Limites de requêtes du locataire

Auth0 limite le nombre de requêtes pouvant être effectuées pour un locataire. Ces limites varient selon l’API et, plus précisément, selon certains points de terminaison de chaque API.

Limites de débit de l’API

Auth0 limite le nombre de requêtes pour une API donnée, quel que soit le point de terminaison de l’API.  Les limites de l’API peuvent varier selon :
  • API
    • Authentication
    • Management
  • Type de locataire (production vs développement ou préproduction)
  • Niveau d’abonnement (Free, Essential, Professional, Enterprise Public vs. Private)
Par exemple, un locataire gratuit hors production peut avoir des limites différentes de celles d’un locataire de production assorti d’un abonnement payant. Pour connaître les configurations précises des limites de débit, consultez Configurations de limites de débit.

Requêtes des utilisateurs

Une seule requête d’un utilisateur final (p. ex., connexion ou inscription) entraîne généralement plusieurs requêtes vers les points de terminaison de l’Authentication API. Le ratio réel entre les requêtes des utilisateurs finaux et celles adressées à l’Authentication API dépend de plusieurs facteurs :
  • Entité authentifiée (p. ex., machine ou application mobile ou de bureau d’un utilisateur final)
  • Expérience d’authentification (p. ex., nouveau ou Connexion classique)
  • Flux d’authentification (p. ex., connexion, inscription ou changement de mot de passe)
  • Type de flux d’authentification (p. ex., connexion avec nom d’utilisateur / mot de passe; connexion par identité sociale; connexion lorsqu’un jeton d’authentification existe déjà)
Les clients qui utilisent l’extensibilité peuvent ajouter encore plus de requêtes, non seulement à l’Authentication API, mais aussi à la , selon la configuration de l’extensibilité. Consultez Cas d’utilisation des limites de débit pour savoir comment estimer l’incidence de votre configuration Auth0 sur votre utilisation des API.

Limites de débit des points de terminaison

Auth0 limite le nombre de requêtes adressées aux points de terminaison d’API et, dans certains cas, le nombre d’opérations effectuées sur ces points de terminaison. Les limites des points de terminaison d’API varient également en fonction de :
  • API
  • Type de locataire
  • Niveau d’abonnement
Par exemple, les limites d’un locataire gratuit hors production diffèrent de celles d’un locataire de production avec un abonnement payant.

Ordre d’application des limites de requêtes du locataire

Lorsque des requêtes sont envoyées à votre locataire, Auth0 les évalue d’abord selon la limite globale de l’API, puis selon la limite de débit applicable à des points de terminaison précis de l’API.

Autres limites

Limites de connexion pour les connexions de base de données

Pour les connexions de base de données, Auth0 limite certains types de tentatives de connexion répétées selon le compte utilisateur et l’adresse IP. Pour protéger la stabilité globale du système, Auth0 applique des limites de débit par utilisateur et mot de passe afin d’atténuer la charge. Le haut degré de personnalisation d’Auth0 peut entraîner un risque de dégradation du service. Les causes peuvent inclure :
  • Tests de charge intensive
  • Tests d’évaluation comparative
  • Code inefficace qui amène les utilisateurs à se connecter plusieurs fois
Les requêtes sont soumises à des limites, comme indiqué dans les politiques propres à chaque API Auth0. De plus, il existe une limite de débit des connexions pour un même utilisateur : si une adresse IP effectue 20 tentatives de connexion en une minute pour le même compte utilisateur, la limite de débit s’applique. Par la suite, Auth0 autorise 10 tentatives par minute pour cet utilisateur. Toute combinaison de tentatives de connexion réussies ou échouées est prise en compte dans cette limite.

Limites qui protègent les utilisateurs

La protection contre les attaques par force brute et la limitation des adresses IP suspectes d’Auth0 peuvent aussi limiter les connexions et les inscriptions, mais elles sont indépendantes des limites de débit. Pour en savoir plus sur la façon dont Auth0 détecte et gère les anomalies potentiellement malveillantes, consultez Protection contre les attaques.

Limites des messages SMS pour l’authentification multifacteur (utilisateurs finaux uniquement)

Si vous tentez d’envoyer plus de 10 messages SMS à votre appareil en une heure, vous recevrez un message d’erreur indiquant un dépassement de la limite de débit. Lorsque vous dépassez votre limite de messagerie, vous devez attendre au moins une heure après la première demande d’envoi avant d’en faire une autre. Une tentative supplémentaire vous sera accordée après chaque heure additionnelle écoulée.

Limites de connexion sociale native

Les limites appliquées aux requêtes du flux de connexion sociale native sont établies en fonction du corps des requêtes, selon les critères initiaux suivants :
Type de requêteCorps
grant_typeurn:ietf:params:oauth:grant-type:token-exchange
subject_token_typehttp://auth0.com/oauth/token-type/apple-authz-code

Public Performance Burst

L’offre Public Performance Burst est un module complémentaire offert avec les abonnements Enterprise qui bonifie un déploiement Public Cloud existant. Cette offre permet d’augmenter dynamiquement la limite de requêtes de l’Authentication API jusqu’à un multiple de la limite de requêtes Enterprise par défaut de 100 RPS, pendant un maximum de 48 heures par mois.
Ce module complémentaire étend uniquement les limites de requêtes de l’Authentication API et ne s’applique PAS à la Management API ni aux autres points de terminaison soumis à des limites de débit en dehors du périmètre de l’Authentication API.
À l’heure actuelle, il existe trois multiplicateurs Public Performance Burst (2x, 3x et 4x), qui permettent respectivement d’atteindre 200, 300 et 400 RPS pour l’Authentication API pendant un maximum de 48 heures par mois. Les 48 heures sont comptabilisées et déduites du quota mensuel autorisé par intervalles de 5 minutes, ce qui permet d’utiliser l’API au niveau du multiplicateur pendant 576 intervalles de 5 minutes chaque mois. Lorsque le volume de requêtes pour l’Authentication API dépasse la valeur par défaut de 100 RPS, un intervalle de 5 minutes est déduit de l’allocation mensuelle, et le trafic est autorisé au débit associé au multiplicateur. À partir de ce moment, le trafic peut rester dans la plage du multiplicateur pendant les 5 minutes consécutives complètes sans entraîner de déductions supplémentaires. Il est possible de surveiller les événements de déduction d’intervalle au moyen des journaux du locataire. Chaque déduction génère un événement de type appi dans les journaux du locataire, qui contient des renseignements sur l’allocation déjà consommée et l’allocation restante. Pour en savoir plus, consultez la section Authentication API dans Limites de débit - Enterprise.

Private Performance Burst

L’offre Private Performance Burst (actuellement offerte sur AWS pour les niveaux 30x et 60x) comprend une capacité de pointe pouvant atteindre 30x (3 000 RPS) ou 60x (6 000 RPS) pendant un maximum de 80 heures par mois. La capacité de base, qui correspond à la moitié de la capacité de pointe, est disponible pendant le reste du mois. Autrement dit, l’offre Private Performance Burst 30x comprend :
  • Capacité de base : 1 500 RPS pour le mois complet
  • Capacité en rafale/de pointe : 3 000 RPS pendant un maximum de 80 heures par mois
Si les transactions d’authentification dépassent la limite de base des requêtes API, une heure est déduite de l’allocation mensuelle. À partir de ce moment, le trafic peut demeurer à un niveau élevé pendant toute l’heure continue suivante. Des déductions supplémentaires sont appliquées de la même façon chaque fois que le seuil est de nouveau dépassé. Une fois l’allocation de 80 heures épuisée, le trafic d’authentification est limité à la capacité de base jusqu’à l’entrée en vigueur de la nouvelle allocation mensuelle.

Limites de simultanéité de l’extensibilité

Afin d’assurer la disponibilité du système et une utilisation équitable de ses ressources, Auth0 limite le nombre de requêtes simultanées en cours pour l’ensemble des produits d’extensibilité : Actions, Hooks, Rules, les connexions de base de données personnalisées, les extensions et les connexions OAuth2 personnalisées. Les locataires qui dépassent leurs limites de requêtes simultanées doivent s’attendre à des erreurs pour les nouvelles requêtes jusqu’à ce que les requêtes en cours soient terminées. Les limites de simultanéité sont définies ci-dessous :
AbonnementLimite de simultanéité (par locataire)
Public Cloud250
Private Cloud Tier Dev100
Private Cloud Basic 100 RPS (1x)200
Private Cloud Performance 500 RPS (5x)400
Private Cloud Performance 1500 RPS (15x)1200
Private Cloud Performance 3000 RPS (30x) et 3000 RPS Burst (30x Burst)1200
Private Cloud Performance 6000 RPS (60x) et 6000 RPS Burst (60x Burst)1200
La simultanéité peut être calculée en multipliant le RPS prévu par la latence de chaque requête. Par exemple, un locataire qui a deux Actions post-login associées, prenant chacune 250 ms, avec un total de 400 RPS de connexion, aura une simultanéité prévue de (2 * (400 requêtes / 1 seconde) * (.25 seconde / 1 requête)) = 200. Pour vous assurer que votre locataire n’est pas touché par ces limites de simultanéité, veillez à ce que toute logique d’extensibilité potentiellement longue à s’exécuter, comme les appels à des API externes, ait des délais d’expiration raisonnables.

Algorithme de limitation du débit

Auth0 définit des limites de débit et des limites de rafale pour ses API. Alors que la limite de débit correspond au volume maximal de trafic soutenu que le système autorise de façon continue, la limite de rafale correspond au volume maximal de trafic à court terme que le système autorise dans un intervalle de temps donné. Les limites de débit et les limites de rafale d’Auth0 fonctionnent ensemble pour offrir un meilleur mécanisme de limitation pour les volumes de trafic variables. Les limites de débit d’Auth0 utilisent un algorithme de seau de jetons avec les configurations suivantes :
  • Clés de limite :
    • En règle générale, une clé de limite de débit repose sur deux facteurs principaux :
      • API et point de terminaison
      • Type de locataire
    • Dans certains cas, des facteurs supplémentaires s’ajoutent :
      • Adresse IP source
      • ID de l’utilisateur cible
  • Valeurs de limite :
    • Taille du seau : Le nombre maximal de requêtes qu’une API ou un point de terminaison peut recevoir en général, ou d’un utilisateur ou d’une adresse IP en particulier, avant l’ajout de nouvelles requêtes.
    • Taux de remplissage : La vitesse à laquelle de nouvelles requêtes sont ajoutées au seau.
À partir de ces deux valeurs, Auth0 calcule la limite de rafale et la limite de débit soutenue :
  • Limite de rafale :  Égale à la taille du seau.
  • Limite de débit soutenue : Taux de remplissage en requêtes par minute ou par seconde.
Si la limite de débit soutenue est calculée en requêtes par seconde, de nouvelles requêtes sont ajoutées par milliseconde. Si la limite de débit soutenue est calculée en requêtes par minute, de nouvelles requêtes sont ajoutées chaque seconde.

Pour en savoir plus