Это действительно зависит от вашего приложения.
1) Это зависит от того, насколько «тяжелым» является ваше приложение:
Если каждый из ваших запросов перегружен процессором и / или сильно поражает вашу базу данных, тогда вы захотите установить нижний предел, потому что каждый запрос «дорогой». Если ваше приложение быстрое и эффективное, у вас есть больше возможностей для маневра, и вы можете установить более высокий лимит API.
2) Это зависит от вариантов использования вашего приложения.
Требует ли ваше приложение много попаданий API, чтобы его можно было использовать? Как лимит API влияет на функции, предоставляемые вашим приложением?
3) Это зависит от того, сколько у вас процессоров.
Heroku позволяет масштабировать ваше приложение, устанавливая веб-динос и рабочие динос. Чем больше у вас есть, тем лучше вы сможете предложить высокие лимиты API.
В любом случае, если вы хотите запретить кому-либо DOS-обработку или вызов вашего API в бесконечном цикле, это неправильный подход, поскольку ограничение API влияет как на хороших, так и на плохих парней. Лучший способ - обнаружить плохое поведение и ответить соответствующим образом (то есть запретить нарушающий IP-адрес в течение ограниченного времени).