Claim-based rate limiting · ThreeMammals/Ocelot#1587

(8 commenti) (0 reazioni) (0 assegnatari)C# (1617 fork)batch import

AuthenticationRate Limitingacceptedfeaturehelp wantedproposal

Metriche repository

Star: (8137 star)
Metriche merge PR: (Merge medio 10g 13h) (4 PR mergiate in 30 g)

Descrizione

New Feature

Extracting claims from the token and use as a Client ID in the rate limiting. Suggesting a new feature to implement the rate limiting based on the claims in the token.

Motivation for New Feature

Current rate limiting is based on the Client ID passed in the header from the request. There are chances that anyone can manipulate the request by updating headers and using APIs without any restriction.

So, instead of depending on the consumer to provide the Client ID in the header, we can use the claims from the token. Which is more secure and not modifiable. Considering this, a rate limit will be applicable for authenticated endpoints only.

Specifications

Version: 18.1.0
Platform: .NET 6

Guida contributor

Direzione di ricerca: Inizia esaminando il middleware di limitazione della velocità esistente in Ocelot (probabilmente nel codice sorgente di Ocelot sotto Middleware o RateLimit). Cerca dove ClientId viene attualmente estratto dagli header. Quindi esplora il middleware di autenticazione per vedere come vengono resi disponibili i claim del token. L'obiettivo è utilizzare opzionalmente un claim come sub o client id dal token per la limitazione della velocità. Controlla i commenti dell'issue per eventuali indicazioni dei maintainer o PR collegati. Considera l'aggiunta di un'opzione di configurazione per scegliere tra Client ID basato su header o su claim. Assicurati che l'implementazione influisca solo sugli endpoint autenticati.
Tech stack: csharp
Dominio: backendapi
Tipo issue: Funzionalità
Difficoltà: 5
Tempo stimato: 1-2 giorni
Stato attività: Attiva
Chiarezza: Chiara
Prerequisiti: C#.NETOcelotrate limiting
Adatta ai principianti: 60