Rate Limiting — Protections et contournements

API Brute force

Bypass courants

# Changer l IP via headers (si confiance abusive)
curl -H "X-Forwarded-For: 1.2.3.4" target
curl -H "X-Real-IP: 1.2.3.4" target

# Varier légèrement l URL
/api/login  /api/login/  /api/Login

# GraphQL batching (voir fiche GraphQL)
# Comptes/sessions multiples + pool de proxies

Bonne implémentation

Rate limiting basé sur plusieurs critères combinés (IP + compte + fingerprint) · Ne jamais faire confiance aux headers X-Forwarded-For sans reverse proxy de confiance · Backoff exponentiel plutôt que blocage binaire