Zabezpieczenie przed spamem w REST API / JWT

Question

uzytkownik mający token może wysyłać requesty do api w node.js nawet bez wchodzenia na strone, co daje łatwą możliwość botowania w mojej hobbystycznej grze mmorpg, można wysłać POST'em do 15 url w mniej niz sekunde rozne dane co jest zbyt łatwe, dodatkowo niektóre requesty przeciążają server i są wykonywane za pomocą skryptu u klienta rzadko, natomiast za pomocą linku użytkownik posiadający token może wykonać ich dowolną ilość.

w jaki sposob to mozna ograniczyć lub jakie zabezpieczenia powinno się stosować?

Comments

Musisz zabezpieczyć swój backend. Ustawić w web serwerze ograniczenie tylko na ip frontendowe. Również ustaw ograniczenie na ilość wykonywanych requestów. Nie piszę w node.js, więc niczego ci nie polecę z gotowych rozwiązań, ale możesz poszukać pod terminem request throttling albo stworzyć sobie middleware i z pomocą jti oraz cache'u, stworzyć własne zabezpieczenie.

Answer 1

Można np. wprowadzić tokeny anti-XSRF, które byłyby różne dla każdego żądania. Tym sposobem nie dałoby się preparować nadmiernej liczby żądań i w gruncie rzeczy wymuszałoby używanie UI, które założyłeś.

Dodatkowo po prostu filtruj żądania po userze/IP. Jak user wysyła za dużo żądań w krótkim czasie i tokeny anti-XSRF się nie zgadzają, blokuj konto i odrzucaj żądania.