Security: API Rate Limiting für alle Endpoints implementieren #66

New issue

Open

opened 2026-03-30 20:18:02 +00:00 by David · 0 comments

David commented 2026-03-30 20:18:02 +00:00

Collaborator

Copy link

Beschreibung

Kein API-Endpoint hat Rate Limiting. Der Login-Endpoint kann per Brute-Force angegriffen werden, und alle anderen Endpoints sind anfällig für DoS durch Massenanfragen.

Hintergrund

Ohne Rate Limiting kann ein einzelner Client unbegrenzt Anfragen senden. Besonders kritisch beim Login-Endpoint (Passwort-Bruteforce) und bei Pipeline-Triggern (Ressourcenerschöpfung).

Akzeptanzkriterien

• Login-Endpoint: Max 5 fehlgeschlagene Versuche pro IP pro 15 Minuten
• API-Endpoints: Max 100 Requests/Minute pro authentifiziertem User
• Pipeline-Trigger: Max 10 Starts/Minute
• HTTP 429 Response mit Retry-After Header bei Überschreitung
• Rate Limits konfigurierbar via Settings

Technische Hinweise

• Betroffene Dateien: backend/main.py, backend/api/auth.py, alle API-Router
• Ansatz: slowapi Library (FastAPI-kompatibel) oder eigene Middleware mit Redis/In-Memory Store
• Migration nötig: nein

Aufwand: M

## Beschreibung Kein API-Endpoint hat Rate Limiting. Der Login-Endpoint kann per Brute-Force angegriffen werden, und alle anderen Endpoints sind anfällig für DoS durch Massenanfragen. ## Hintergrund Ohne Rate Limiting kann ein einzelner Client unbegrenzt Anfragen senden. Besonders kritisch beim Login-Endpoint (Passwort-Bruteforce) und bei Pipeline-Triggern (Ressourcenerschöpfung). ## Akzeptanzkriterien - [ ] Login-Endpoint: Max 5 fehlgeschlagene Versuche pro IP pro 15 Minuten - [ ] API-Endpoints: Max 100 Requests/Minute pro authentifiziertem User - [ ] Pipeline-Trigger: Max 10 Starts/Minute - [ ] HTTP 429 Response mit `Retry-After` Header bei Überschreitung - [ ] Rate Limits konfigurierbar via Settings ## Technische Hinweise - Betroffene Dateien: `backend/main.py`, `backend/api/auth.py`, alle API-Router - Ansatz: `slowapi` Library (FastAPI-kompatibel) oder eigene Middleware mit Redis/In-Memory Store - Migration nötig: nein ## Aufwand: M

David added the

M

wichtig

api

feature

backend

labels 2026-03-30 20:18:02 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

detached

feature/ui-redesign

No results found.

Labels

Clear labels   

api

API Endpoints betroffen

  

backend

Backend/Python betroffen

  

bug

Fehler/Bug

  

database

Datenbank/Migration betroffen

  

doku

Dokumentation nötig

  

feature

Neues Feature

  

frontend

Frontend/React betroffen

  

improvement

Verbesserung bestehender Funktion

  

in work

Issue wird gerade bearbeitet

  

kritisch

Höchste Priorität

  

L

Large: 1+ Tag, > 5 Dateien

  

M

Medium: halber Tag, 3-5 Dateien

  

niedrig

Niedrige Priorität

  

normal

Normale Priorität

  

review

In Review

  

S

Small: < 1h, 1-2 Dateien

  

service

Service/Pipeline betroffen

  

wichtig

Hohe Priorität

  

XL

Extra Large: mehrere Tage

No labels

api

backend

bug

database

doku

feature

frontend

improvement

in work

kritisch

L

M

niedrig

normal

review

S

service

wichtig

XL

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

Basti/Bruno#66

No description provided.