Código de status HTTP REST sugerido para 'limite de solicitações atingido'

429 Solicitações demais

O usuário enviou muitas solicitações em um determinado período de tempo. Destinado a uso com esquemas limitadores de taxa. Este código foi aceito em RFC 6585 Códigos de Status HTTP Adicionais .

The429statuscodeindicatesthattheuserhassenttoomanyrequestsinagivenamountoftime("rate limiting").

   The response representations SHOULD include details explaining the
   condition, and MAY include a Retry-After header indicating how long
   to wait before making a new request...

   Note that this specification does not define how the origin server
   identifies the user, nor how it counts requests.  For example, an
   origin server that is limiting request rates can do so based upon
   counts of requests on a per-resource basis, across the entire server,
   or even among a set of servers.  Likewise, it might identify the user
   by its authentication credentials, or a stateful cookie.

   Responses with the 429 status code MUST NOT be stored by a cache...

Até certo ponto, você é livre para fazer o que quiser com os códigos, mas eu concordo que você pode usar 503 , ou se você quiser 402 , sem que ninguém possa reclamar que você está quebrando coisas.

Editar: Um purista pode dizer que você deve começar com 503, depois mudar uma vez que é possível fazer pagamentos.

Um excelente acréscimo a isso nos comentários:

A 4xx indicates an error by the client that can be fixed by them taking a certain action, whereas a 5xx indicates a problem on the server that the client can't help resolve. So in your case, a 4xx is more appropriate, because the (i) the server is behaving exactly as it should, and (ii) the client can "fix" the error by either slowing down or purchasing more credits. The exact resolution can be indicated in the body of the 429 response. – Mike Chamberlain 7 hours ago