search

SIWECOS / siwecos-business-layer

SIWECOS Main API and Business Layer Application
https://siwecos.de
0 stars 1 forks source link

Token Registrierung mit Rate Limit versehen #127

Closed Lednerb closed 5 years ago

Lednerb commented 5 years ago

Die Route /api/v2/token kann genutzt werden, um ein Token anzulegen.

Um diese Schnittstelle nicht ausnutzen zu können, um unnötig viele Tokens zu registrieren, sollte diese Route mit einem Rate-Limit versehen werden.

Vorschläge für einen vernünftigen Wert sind willkommen @SniperSister @Skeeve @ic0ns

SniperSister commented 5 years ago

Auf was bezieht sich das Limit? Je IP?

Lednerb commented 5 years ago

Je IP ist die einzige Möglichkeit dies zu implementieren, da wir ja keinerlei weiterer Daten über den jeweiligen Nutzer für die 3rd-Party-Integration haben.

Andernfalls müssten wir mit der Nutzer-Registrierung vorlieb nehmen.

ic0ns commented 5 years ago

1k -100 k? Würde mir da nicht so super viele sorgen machen...

Lednerb commented 5 years ago

Tokens ohne zugewiesener Domain werden nach 24 Stunden gelöscht. Es lassen sich max. 60 Tokens pro Minute je IP generieren.

Das sollte ausreichend Schutz bieten und auch nicht übermäßig zum Blocken führen (ein Plugin muss lediglich 1 Token generieren und kann dann automatisiert alle Domains eintragen), es gibt keinen Grund mehrere Tokens zu generieren.