429 Too Many Requests significa que você foi limitado: enviou mais requisições do que o servidor permite numa janela, e ele pede que você diminua o ritmo. É um código 4xx, e normalmente é o servidor fazendo seu trabalho — se protegendo de sobrecarga, scraping e brute force.

Por que servidores retornam 429

  • Rate limiting — a API limita requisições por key/IP/usuário por janela.
  • Cota — você usou o limite do seu plano.
  • Proteção contra abuso — muitas tentativas de login disparam um bloqueio (é uma feature).
  • IP compartilhado — você está atrás de um NAT/proxy e outro gastou o orçamento.

Como corrigir — como cliente / consumidor de API

  1. Respeite Retry-After. A resposta diz quanto esperar.
  2. Use backoff exponencial. Tente a 1s, 2s, 4s, 8s… com jitter, não em loop fechado.
  3. Faça cache e agrupe. Não re-peça dados que já tem.
  4. Revise seus limites e os headers X-RateLimit-*.

Como configurar — como dono da API

  • Limite por API key ou usuário, não só por IP.
  • Retorne sempre Retry-After e headers X-RateLimit-*.
  • O rate limiting é um controle de segurança central — está no checklist de segurança de APIs porque sua ausência habilita brute force.

O Nurbak Watch rastreia códigos por endpoint, então uma onda de 429 — usuários legítimos que você está limitando ou um ataque que está absorvendo — aparece na hora.

Códigos HTTP relacionados