Implementa Rate Limit na API: Rotas com POST, PATCH e DELETE
#656
Labels
back
Envolve modificações no backend
Milestone
Comments
filipedeschamps
added
front
Closed
|
Fechado por #657 e vamos considerar essa a primeira versão, pois o @aprendendofelipe destacou pontos muito importantes no PR e que devem ser implementados 🤝 |
|
Por enquanto o uso está assim:
|
|
Registrando aqui o uso:
|
|
Vai vir o primeiro billing do Upstash de 0.47 dolares:
|
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Contexto
Continuando a implementar o rate-limit proposto pela issue #639 e que já foi iniciado na issue #635, mas dessa vez vamos começar a trabalhar em outros endpoints sensíveis.
Execução
Estava analisando os endpoints da API e destaquei o seguinte:
PS: Faltou algum endpoint que vocês notaram?
Não sei se vocês concordam com essa classificação, mas na verdade a parte mais curiosa na minha opinião é o
GET /api/v1/user. Destaco isso, pois é um endpoint em que você não consegue enviar nada, a não ser osession_id(como qualquer outro endpoint que recebe e interpreta osession_id), mas ele é especial porque, se quebrar ele por falta de rate-limit, os dados pessoais do usuário são retornados.Então por um lado, ele não oferece vetor de ataque adicional, porém se quebrado, devolve informações sensíveis. Especial, não?
De qualquer forma, a inclusão de controles específicos para mais endpoints está impraticável no código atual. Então estou proponto no PR abaixo a refatoração, e depois a adição das novas rotas:
POST,PATCHeDELETE#657The text was updated successfully, but these errors were encountered: