// docs / quotas & limits
Hạn mức & giới hạn
Mọi giá trị hạn mức và giới hạn tốc độ bên dưới đều lấy từ mô-đun quyền lợi tại thời điểm build, nên trang này không thể lệch khỏi những gì máy chủ thực sự thực thi.
Quyền lợi theo gói
| Miễn phí | Sở thích | Pro | Không giới hạn | |
|---|---|---|---|---|
| Lần quét / tháng | 3 | 50 | 200 | Gói Unlimited¹ |
| Dự án (tên miền đã xác minh) | 1 | 1 | 5 | 20 |
| API token | 0 | 1 | 5 | 20 |
| Owner-depth scans | không | có | có | có |
| Quét repo GitHub | không | không | có | có |
| Quét lại theo lịch | không | không | nhịp ≥3h | nhịp ≥1h |
| Phát hiện mối đe dọa trực tiếp | không | không | không | có |
| Lưu giữ | 7 ngày | 30 ngày | 90 ngày | 365 ngày |
| Ghế nhóm | 1 | 1 | 1 | 5 |
| Hỗ trợ | tiêu chuẩn | tiêu chuẩn | ưu tiên | riêng |
¹ Hạn mức quét của gói Unlimited tuân theo nguyên tắc sử dụng hợp lý — xem Điều khoản. ² Giới hạn mặc định là 20 domain trong giám sát chủ động với chu kỳ ≥1h. Liên hệ support@fixweb.app để tăng giới hạn đổi lấy chu kỳ theo lịch dài hơn.
Giới hạn tốc độ API
Mọi request /api/v1/* và /api/mcp đều được key theo hash của bearer token và chạy qua hai cửa sổ:
- Burst: 10 request mỗi giây.
- Steady: 60 request mỗi phút.
Khi 429, phản hồi bao gồm:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Cửa sổ bị vấp được nêu tên trong message (burst (10/s) so với steady (60/min)) để client backoff có thể thích nghi.
Giới hạn tốc độ quét của gói Free (mỗi IP/24)
Ngoài hạn mức 3 lần quét mỗi tháng cho mỗi tổ chức, người dùng gói Free còn chịu giới hạn bổ sung mỗi IP/24: 3 lần quét mỗi giờ, 100 mỗi ngày. Cùng bộ giới hạn áp dụng cho các lần quét tức thời ẩn danh, ngăn việc làm cạn hạn mức Free qua tài khoản dùng một lần. Yêu cầu vượt bất kỳ giới hạn nào trả về HTTP 429 Too Many Requests kèm header Retry-After.
Throttle đăng ký (theo IP/24)
5 lần đăng ký thành công mỗi IP/24 trong 24 giờ, để ngăn tạo tài khoản gói Free tự động. Callback bị giới hạn được chuyển hướng đến /sign-in?error=rate_limited.
Lưu giữ
Lần quét + phát hiện tự động purge theo bảng trên. Lần quét ẩn danh một lần hết hạn sau 24h từ khi tạo. Audit log lưu 18 tháng. Snapshot monitor prune về 7 ngày gần nhất cộng baseline mới nhất cho mỗi (domain, signal). Cảnh báo đã dismiss purge sau 90 ngày. Toàn bộ lưu giữ được thực thi hằng ngày bởi /api/cron/retention-cleanup.