Popularne strategie to token bucket i leaky bucket (albo fixed/sliding window). Limity możesz wymusić na edge/API gateway, load balancerze lub w aplikacji (per user/IP), najlepiej jak najbliżej wejścia.