Available settings for global rate limits and throttling

Discourse · Janvier 22, 2018, 1:25

Discourse ships with 3 different global rate limits that can be configured by site admins.

Global per-ip rate limits

These limits apply to every unique IP address that hits the Discourse application. (files that are served directly from the filesystem or the CDN are excluded)

By default this rate limit is enabled, you may disable it or set it to a reporting mode.

DISCOURSE_MAX_REQS_PER_IP_MODE : default block, this rate limit applies out of the box. (other options are warn, warn+block, and none)

DISCOURSE_MAX_REQS_PER_IP_PER_MINUTE: number of requests per IP per minute (default is 200)

DISCOURSE_MAX_REQS_PER_IP_PER_10_SECONDS: number of requests per IP per 10 seconds (default is 50)

DISCOURSE_MAX_ASSET_REQS_PER_IP_PER_10_SECONDS: number of asset (avatars/css) requests per IP per 10 seconds (default is 200)

DISCOURSE_MAX_REQS_RATE_LIMIT_ON_PRIVATE: should the rate limit apply to private IPs accessing Discourse? default is false.

DISCOURSE_SKIP_PER_IP_RATE_LIMIT_TRUST_LEVEL: use per user rate limits vs IP rate limits for users with this trust level or more (default 1)

User API rate limits

The mobile applications acquire a user API key per device to access Discourse on behalf of a user (using an open protocol). These API keys are very tightly limited.

DISCOURSE_MAX_USER_API_REQS_PER_MINUTE: default 20
DISCOURSE_MAX_USER_API_REQS_PER_DAY: default 2880

Admin API rate limits

The administrative API keys can be generated via the yoursite.com/admin/api/keys page. These keys can operate on behalf of users, but require administrative privileges to generate. There is a limit of 60 requests per minute, shared between all keys.

Self-hosted users can change this in their app.yml file. Hosted customers will need to contact their hosting provider.

DISCOURSE_MAX_ADMIN_API_REQS_PER_MINUTE : 60

Data Explorer Plugin API rate limits

DISCOURSE_MAX_DATA_EXPLORER_API_REQ_MODE: default warn , this rate limit applies out of the box. (other options are block , warn+block , and none )

DISCOURSE_MAX_DATA_EXPLORER_API_REQS_PER_10_SECONDS: 2

Note: The requests made via the Data Explorer UI do not count towards the rate limit.

What should I do if I hit a rate limit and get throttled?

If you are consuming the API programmatically and receive back a 429 status code throttle reply you should respect it and slow down.

As an end user you should not really experience rate limits if you do, slow down. You could trigger it by opening 50 tabs real quick or doing something like that.

Firewall and proxy warning!

If you are running a reverse proxy which is mis-configured Discourse may think all the requests are coming from a single IP address, it is very likely you will hit rate limits early. Be sure to configure your reverse proxy to forward the IP correctly.

How do I amend these limits?

To amend the limits add the desired change into your app.yml file in the env section.

If you are hosted by Discourse, and on an Enterprise plan, contact team@discourse.org it you need to adjust any of these limits.

Global Rate Limits are not adjustable on starter, pro, or business plans.

Last edited by @MarkDoerr 2025-07-21T23:14:15Z

Last checked by @MarkDoerr 2025-07-21T23:14:23Z

Check document
Perform check on document:

pfaffman · Janvier 18, 2024, 7:59

Il me semble que si vous avez le web.ratelimited.template.yml installé, alors ceux-ci n’ont pas d’importance puisque les choses sont limitées par NGINX avant d’atteindre Discourse, n’est-ce pas ?

C’est ce qu’il semble ressortir de mes journaux nginx.

Ma solution à court terme est d’ajouter mon adresse IP à la liste des IP locales, afin qu’elle passe NGINX. Je suppose que la chose à faire est de supprimer le modèle ratelimited pour que ceux-ci aient un sens ?

guidoleenders · Juillet 19, 2024, 1:29

Concernant le texte suivant :

Avertissement concernant le pare-feu et le proxy :warning :

Si vous utilisez un proxy inverse mal configuré, Discourse peut penser que toutes les requêtes proviennent d’une seule adresse IP, il est très probable que vous atteigniez rapidement les limites de débit. Assurez-vous de configurer votre proxy inverse pour qu’il transmette correctement l’IP.

Dans notre configuration, nous tunnelisons tous les appels API via un proxy. Ce proxy gère l’authentification et de nombreuses autres choses avant de parfois interroger Discourse.

Quelle est la méthode recommandée (en-tête spécifique ?) pour transmettre l’adresse IP du demandeur d’origine ?

Lié

Richie · Janvier 24, 2025, 3:12

Quelqu’un pourrait-il m’aider à comprendre ce paramètre de configuration, s’il vous plaît ?

Ai-je raison de penser que ce paramètre est déjà défini sur 1 et que les limites de débit sont par défaut déjà définies par utilisateur plutôt que par adresse IP (si l’utilisateur est TL1 ou supérieur) ?

Ethsim2 · Novembre 2, 2025, 11:00

il n’existait en fait pas pour me faire spécifier un ou plusieurs de ces paramètres.

mon script respectait toujours l’en-tête Retry-After, comme nous pouvons le voir à partir de la ligne 101 d’origine ;

retry_after = r.headers.get("Retry-After")

cependant, cet en-tête devenait inutilement volumineux car je planifie différentes unités de service pour que ce même script s’exécute à différents moments de la journée.

Par conséquent, les multiples de certains de ces paramètres par défaut ont amélioré la délivrabilité des e-mails via mail-receiver, ce qui reste important.

Sujet		Réponses	Vues
Is there a limit of API requests? Support	2	1733	Février 24, 2018
Remove the ip limits Support	5	1422	Avril 7, 2021
How to avoid throttling limits with admin API key? Dev rest-api	11	1706	Mars 12, 2024
How-to disable or tune rate limiting by ip address? Support	3	1140	Février 24, 2023
Global rate limit in discourse Support	10	1559	Mai 15, 2024