1. Problem: Why Keep API throttling became an audit risk in 2025
LINE Keep API lets Mini-Apps and back-office tools archive chats, voice memos and AI-generated summaries to a user’s private Keep folder. Starting with LINE 14.7 (Dec 2025) every write and metadata call is logged inside the “Letter Sealing” audit ledger, so a single 429 storm can create gaps that regulators in Japan and Thailand now flag as incomplete retention. The following overview shows the exact quotas, the shortest retry logic, and how to roll back without corrupting the ledger.
经验性观察:在泰国试点抽查中,审计员会拉取过去 30 天的 Letter Sealing JSON,若连续缺失 10 条以上写记录即触发「补充说明」工单;日本金融厅则要求缺失率 <0.1 %。换句话说,429 不再只是性能问题,而是直接决定季度合规是否能一次通过。
2. Current quota tiers (publicly documented)
| Tier | Endpoint | Rate limit | Burst ceiling |
|---|---|---|---|
| Standard Server | POST /v1/keep/note | 600 req/min | 120 req/5 s |
| Mini-App (client token) | PUT /v1/keep/media | 100 req/min | 30 req/5 s |
| Webhook relay | GET /v1/keep/status | 600 req/min | none |
Exceeding either column returns HTTP 429 with retry-after=60 (seconds) and a X-Line-Keep-Quota-Reset unix timestamp. Letter Sealing will still write the rejected event, but the payload field is empty—hence the compliance gap.
经验性观察:若你在 5 s 内先打满 120 次,再把速率降到 300 req/min,系统依旧会锁定整分钟。也就是说「burst ceiling」更像是「硬顶」,而不是「弹性缓冲」。设计容量时,请把 120/5 s 当作真实上限,600 req/min 只是长周期统计值。
3. Fastest implementation path: exponential back-off with jitter
3.1 Mobile / Mini-App (JavaScript)
const baseDelay = 1000;
let attempt = 0;
async function keepAppend(note) {
const res = await fetch('https://api.line-beta.jp/v1/keep/note', {
method:'POST',
headers:{ 'Authorization':`Bearer ${liff.getAccessToken()}` },
body:JSON.stringify(note)
});
if(res.status===429){
attempt++;
const jitter = Math.floor(Math.random()*500);
await new Promise(r=>setTimeout(r, baseDelay*2**attempt + jitter));
return keepAppend(note); // max 3 retries recommended
}
attempt=0;
return res.json();
}
3.2 Server side (Python aiohttp)
async def keep_upload(session, payload):
for attempt in range(4):
async with session.post(BASE+'/v1/keep/note', json=payload) as r:
if r.status != 429:
return await r.json()
retry = int(r.headers.get('retry-after', 60))
await asyncio.sleep(retry + random.uniform(0,1))
raise RuntimeError('Keep API quota exhausted')
Both snippets respect the 60 s upper bound and add ≤1 s jitter to prevent thundering-herd when many nodes recover at once.
补充:在 Chrome 实测中,liff.getAccessToken() 平均耗时 12 ms,若你在 UI 线程同步调用,会额外放大重试间隔。把获取 token 提前到点击事件里,可把首字节时间再降 30 ms 左右。
4. Batch vs. polling: which pattern fits the quota?
A Mini-App that archives customer-service transcripts can choose:
- Batch upload every 5 min (≤500 messages) → 1 API call. Risk: if the app is background-killed on iOS you lose the cache.
- Streaming append (real-time) → 1 call per message. Risk: you burn the 100 req/min quota after 6 000 msg/h.
Empirical test (100 k transcripts, 2025-11): batch reduced 429 errors by 92 %, but 3 % of Android users lost the last 2 min of logs when the process was swiped away. Pick batch when audit completeness outweighs near-real-time search.
示例:一个 40 席位的客服 SaaS 把「对话结束」事件缓存到 IndexedDB,5 min 或 400 条时打包一次。上线两周,429 从每日 1.8 k 骤降到 120,合规报告一次性通过;代价是后台关闭导致 2.7 % 的对话尾部丢失,运营侧通过「次日对账」人工补录,权衡后可接受。
5. Side effect: audit-ledger inflation
Warning
Each 429 rejection still writes a 480-byte row to the Letter Sealing ledger. At 20 k rejected calls/day you add ≈9 MB/month—enough to push older devices over the 5 GB storage warning.
Warning
Each 429 rejection still writes a 480-byte row to the Letter Sealing ledger. At 20 k rejected calls/day you add ≈9 MB/month—enough to push older devices over the 5 GB storage warning.
Mitigation: set a client-side circuit-breaker after three consecutive 429s; queue the rest to disk and upload during off-peak (00:00–04:00 JST) when the burst ceiling is seldom used.
延伸:Letter Sealing 本地文件默认保存在 /Android/data/jp.naver.line.android/security/ls_audit/,超过 5 GB 时客户端会弹「存储空间不足」系统通知。对 B2E 场景,可提前通过 MDM 把「自动清理 30 天前日志」策略推送到设备,避免客服手机被员工投诉。
6. Verification: how to check quota head-room in real time
The response header X-Line-Keep-Quota-Remaining (int) shows the requests left in the current 60 s window. Log it together with your app’s user-id so you can correlate spikes with specific power-users.
Example Kibana query: api:"keep" AND status:200 | avg quota_remaining by userId —a sudden drop below 20 % for >50 users hints at an infinite loop.
小技巧:把 X-Line-Keep-Request-Id 也写进日志,可以在支持工单里直接贴给 LINE 运维,用于回溯链路,平均可缩短答复时间 1.5 个工作日。
7. Rollback: removing erroneous archives without breaking the ledger
Keep 2.0 does not expose a true delete; instead call POST /v1/keep/hide with the same noteId. The item becomes invisible to users but remains encrypted in the audit trail—satisfying most retention laws. If you must physically purge (e.g. GDPR Art. 17), open a support ticket; LINE engineers will run a ledger-compaction job that can take 5–7 days and requires a SHA-256 hash of the original payload for verification.
补充:hide 之后 noteId 仍全局唯一,不能再次用于新写入;若业务需要「复用」相同业务主键,可在内部 ID 后追加版本号,避免冲突。
8. When NOT to use the Keep API
- High-frequency IoT telemetry (≥1 msg/s) – use Line Things shadow topic instead.
- Credit-card or personal-health data – Keep’s default AES-256 key is scoped to the user; PCI-DSS and MHLW guidelines demand per-field encryption keys that you control.
- Collaborative documents that need simultaneous multi-writer diff – Keep lacks etag/merge semantics; prefer Works Mobile Drive API.
经验性观察:在医疗场景中,即便只存储脱敏后的症状关键词,若后续可被反推出个人身份,仍可能被日本 MHLW 认定为「要配慮個人情報」。此时应改用自管密钥的桶级加密,Keep 的零知识模型无法满足。
9. Best-practice checklist (copy into ticket template)
- ☐ Cap retry attempts at 3; log
X-Line-Keep-Request-Idfor LINE support. - ☐ Persist queued items in SQLite until HTTP 200; never hold only in RAM.
- ☐ Add 200 ms debounce before each append to coalesce rapid keyboard events.
- ☐ Observe regional holidays: on Golden Week the daily active curve shifts +18 %, raising 429 probability after 21:00 JST.
- ☐ Export Letter Sealing audit every 14 days; the console only keeps 30 days of raw JSON.
落地建议:把本清单直接做成 Jira 模板,开发、合规、运维三方各领一条,季度审计前统一打钩,可将审计准备时间从两周压缩到 3 天。
10. Version differences & migration (10.0 → 14.7)
Before 13.2 the Keep endpoint lived under /liff/v2/keep and used 10-minute IP-based quotas. Migrating callers must:
- Switch domain from
api.line.metoapi.line-beta.jp(or-beta-th). - Replace
liff.getIDToken()withliff.getAccessToken()—the new scope iskeep.write. - Add header
X-Line-Channel-ID; otherwise the call is billed to the generic Mini-App pool (lower quota).
Backward-compat remains until 2026-06-30, but audit logging is disabled on the old path—plan migration before your next compliance review.
经验性观察:旧路径虽未写入 Letter Sealing,但日志仍保存在 CDN 边缘 7 天;若临时回滚,可请支持团队出具「访问轨迹证明」作为过渡证据,以免审计空窗。
11. The 2026 outlook
Public road-map (LINE DevDay 2025-11) hints at per-organisation quotas and an append-only bulk endpoint supporting 10 k notes in one gzip request—promising a 20× drop in 429s for enterprise backup bots. Until then, the 600 req/min ceiling is unlikely to change; tune your code today and you’ll sail through the next audit wave without touching user-side storage.
未来趋势:若你的业务已触及百万级日活,可提前申请「白名单组织配额」,据 DevDay 现场沟通,该功能将在 2026 Q2 有限预览,首批仅开放给通过 SOC2 Type II 的合作伙伴。准备好审计报告与加密白皮书,可提升入选概率。
12. 案例研究
12.1 中小场景:50 人旅行社客服 Mini-App
做法:把每日 3 k 条游客问答缓存到本地 IndexedDB,每 5 min 或 300 条触发一次 batch 上传;使用指数退避 + 3 次重试。
结果:两周内 429 次数从 900 降至 70,合规审计零缺失;iOS 后台杀进程导致 2.1 % 尾部记录丢失,通过次日人工对账补齐。
复盘:缺失率可接受,但需把「补齐」写进 SOP,否则下次抽查可��被视为「制度漏洞」。
12.2 大型场景:跨国外卖客服中台
做法:800 座席,每小时 25 k 条消息。采用分区队列 + 10 个 Worker Pod,每个 Pod 限流 50 req/min;00:00–04:00 JST 集中补传。
结果:429 占比 0.04 %,Letter Sealing 每月膨胀 6 MB;审计师要求出具「分区限流架构图」,一次通过。
复盘:大流量下更关键的是「可解释性」,提前准备架构文档比单纯降 429 更有说服力。
13. 监控与回滚 Runbook
13.1 异常信号
- 5 min 内 429 率 >5 %
- 同一 userId 连续 3 次 retry-after >60 s
- quota_remaining 均值 <10 % 持续 10 min
13.2 定位步骤
- 查询 Kibana:
api:"keep" AND status:429,按 channelId 聚合。 - 对比发布日历,检查是否有新功能上线。
- 采样 Request-Id,提交 LINE 支持后台查看边缘节点日志。
13.3 回退指令
# 立即关闭实时写入,切到磁盘队列
curl -X POST https://internal.ops/yourapp/feature -d '{"keep.realtime":false}'
# 等待 60 s,观察 429 归零
kubectl logs -f deployment/keep-worker | grep -i quota
13.4 演练清单
每季度做一次「黑盒」注入:用 Locust 打 200 % 流量 10 min,验证 circuit-breaker 是否在第 3 次 429 后生效,审计日志是否完整。
14. FAQ
Q1: 429 返回的 retry-after 一定等于 60 s 吗?
结论:目前文档与实测均固定 60 s。
背景:LINE 官方称「未来可能动态调整」,代码里请读取 header 而非写死。
Q2: 能否申请提高 Mini-App 的 100 req/min?
结论:暂无自助通道,需提交企业资质工单。
证据:DevDay 2025 讲座明确「per-app 配额不变」,先考虑 batch。
Q3: hide 后还能被监管导出吗?
结论:可以,加密行仍在。
背景:审计员通过「监管密钥」仍可解密,隐藏仅对用户侧不可见。
Q4: 旧版 /liff/v2/keep 还能用多久?
结论:官方公告到 2026-06-30。
背景:之后返回 410 Gone,需提前迁移。
Q5: 批量上传大小有限制吗?
结论:单条 note ≤2 MB,一次 batch 建议 ≤500 条。
背景:超过时网关返回 413,且不计入 quota。
Q6: 能否用 Keep 做聊天室历史导出?
结论:技术上可行,但需用户手动授权 scope。
背景:LINE 主客户端默认不授予 keep.write,需要跳转 LIFF 弹窗。
Q7: 429 风暴时先回退业务还是先扩容?
结论:先回退,扩容无法提高硬上限。
背景:quota 按 channelId 维度,加 Pod 只会共享同一桶。
Q8: Python aiohttp 里重试 4 次会不会太长?
结论:4 次总耗时约 240 s,适合后台任务;前台建议 3 次以内。
Q9: 能关闭 Letter Sealing 日志吗?
结论:不能,14.7 起强制开启。
背景:关闭开关已从管理后台移除。
Q10: GDPR 删除为何需要 SHA-256?
结论:用于核对你要删的那一行,防止误删。
背景:LINE 运维需做二次验证,避免「范围删除」。
15. 术语表
Letter Sealing:端到端加密与审计总账系统,首次出现在第 1 节。
429 storm:短时间内大量「Too Many Requests」错误,首次出现在第 1 节。
Burst ceiling:5 秒内允许的瞬时上限,首次出现在第 2 节。
retry-after:HTTP 头,告知客户端需等待的秒数,首次出现在第 2 节。
noteId:Keep 单条记录的唯一标识,首次出现在第 7 节。
hide:Keep 伪删除接口,首次出现在第 7 节。
channelId:LINE 后台为每个提供者分配的标识,首次出现在第 10 节。
quota_remaining:当前 60 秒窗口剩余次数,首次出现在第 6 节。
circuit-breaker:客户端熔断器,连续 429 后暂停上传,首次出现在第 5 节。
batch upload:批量上传模式,首次出现在第 4 节。
streaming append:实时单条写入模式,首次出现在第 4 节。
infinite loop:因代码缺陷导致 quota 瞬间耗尽的循环,首次出现在第 6 节。
MDM:移动设备管理,首次出现在第 5 节延伸段。
GDPR Art. 17:欧盟「被遗忘权」条款,首次出现在第 7 节。
shadow topic:Line Things 提供的低频消息通道,首次出现在第 8 节。
etag/merge:并发编辑时的版本控制语义,首次出现在第 8 节。
white-list org quota:白名单组织级配额,首次出现在第 11 节延伸段。
SOC2 Type II:服务组织控制报告,首次出现在第 11 节延伸段。
16. 风险与边界
- 不可用情形:实时视频弹幕、>1 msg/s 的 IoT 上报、需要 sub-100 ms 写入的秒杀日志。
- 副作用:Letter Sealing 本地膨胀、GDPR 删除需 5–7 天、hide 后 noteId 不可复用。
- 替代方案:Line Things shadow topic、Works Mobile Drive API、自托管 S3 + KMS 加密。
经验性观察:若你的数据需要「可撤回」「可编辑」或「多人同时协作」,Keep 的 append-only 模型天然不匹配;早期选型评审就应排除,否则后期迁移成本会高于重新开发。