maxim.dolgolyov/Learn_System
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix(security): пер-юзер лимиты ИИ + SSE через одноразовый тикет (Спринт1 #5,#6)

Browse Source 
#5 rate-limit (byUser) на дорогих LLM-эндпоинтах: /assistant/ask (20/мин),
   /assistant/flashcards (10/мин), /imggen (20/мин) — поверх cooldown/дневного
   лимита. Защита от «сжигания» бюджета провайдера одним аккаунтом.
#6 SSE больше не таскает JWT в URL: добавлен authed /notifications/stream-ticket
   (одноразовый тикет, TTL 30с), клиент берёт тикет заголовком и подключается
   с ?ticket=. ?token= оставлен как временный фоллбэк для старых клиентов.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
Maxim Dolgolyov
2026-06-12 22:00:23 +03:00
parent 5a57812dab
commit 646e93cf46
5 changed files with 74 additions and 22 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/routes/imggen.js
+5 -1
View File
@@ -1,10 +1,14 @@
'use strict';
const router = require('express').Router();
const { authMiddleware } = require('../middleware/auth');
const rateLimit = require('../middleware/rateLimit');
const ctrl = require('../controllers/imggenController');
// Пер-юзер лимит поверх cooldown/дневного лимита в контроллере (защита от абуза).
const genLimiter = rateLimit({ windowMs: 60_000, max: 20, byUser: true, message: 'Слишком много генераций — подожди минутку' });
router.use(authMiddleware);
router.get('/status', ctrl.status);
router.post('/', ctrl.generate);
router.post('/', genLimiter, ctrl.generate);
module.exports = router;