Bezpieczeństwomedium

Jak chronić publiczne API przed nadużyciami?

Tagi

#rate-limiting#abuse#api

Odpowiedź

Stosuj uwierzytelnianie, rate limiting, kwoty i wykrywanie nadużyć (reputacja IP, anomalie). Dodaj walidację żądań, reguły WAF i backpressure oraz monitoring i alerty na skoki ruchu.

Odpowiedź zaawansowana

Głębiej

Warstwowe podejście zmniejsza nadużycia i blast radius:

Klucze API lub OAuth; limity per tenant i per IP.
Walidacja i schematy, by odrzucić złe żądania na wejściu.
Reguły WAF, bot detection, reputacja IP.
Backpressure i circuit breakers dla ochrony downstreamów.

Przykłady

Nagłówki rate limit:

X-RateLimit-Limit: 1000
X-RateLimit-Remaining: 42
X-RateLimit-Reset: 1710000000

Typowe pułapki

Tylko globalne limity (jeden tenant szkodzi wszystkim).
Brak obserwowalności i alertów.
Brak idempotency przy retry.

Pytania uzupełniające na rozmowie

Jak ustawiasz limity dla planów płatnych i darmowych?
Jak obsłużyć burst od dobrego klienta?
Jakie metryki alertować?

Powiązane pytania

Testowanie

Czym jest contract testing i kiedy jest użyteczne?

#contract-testing#api#microservices

Next.js

Route Handlers w App Router: jak je definiujesz i do czego służą?

#nextjs#route-handlers#api

Mikroserwisy

BFF (Backend for Frontend): co to jest i kiedy pomaga?

#microservices#bff