Closed Lednerb closed 5 years ago
Auf was bezieht sich das Limit? Je IP?
Je IP ist die einzige Möglichkeit dies zu implementieren, da wir ja keinerlei weiterer Daten über den jeweiligen Nutzer für die 3rd-Party-Integration haben.
Andernfalls müssten wir mit der Nutzer-Registrierung vorlieb nehmen.
1k -100 k? Würde mir da nicht so super viele sorgen machen...
Tokens ohne zugewiesener Domain werden nach 24 Stunden gelöscht. Es lassen sich max. 60 Tokens pro Minute je IP generieren.
Das sollte ausreichend Schutz bieten und auch nicht übermäßig zum Blocken führen (ein Plugin muss lediglich 1 Token generieren und kann dann automatisiert alle Domains eintragen), es gibt keinen Grund mehrere Tokens zu generieren.
Die Route
/api/v2/token
kann genutzt werden, um ein Token anzulegen.Um diese Schnittstelle nicht ausnutzen zu können, um unnötig viele Tokens zu registrieren, sollte diese Route mit einem Rate-Limit versehen werden.
Vorschläge für einen vernünftigen Wert sind willkommen @SniperSister @Skeeve @ic0ns