你正在为公共 REST API 网关实现 per-API-key 准入策略。网关合同是硬性滚动窗口上限:**任意 window_seconds 秒窗口内,某个 API key 已成功准入的请求数不得超过 max_per_window**。这是滑动日志限流器 — 与令牌桶(空闲后允许 burst 到 capacity)和漏桶(平滑输出)都不同。滑动日志不发放空闲信用,也没有队列:每条请求到达即定准入或拒绝,且只有准入的请求计入上限。