PHỎNG VẤN BACKEND 01: Làm thế nào để bảo vệ Server khi action SPAM vào FORGOT PASSWORD API ? GET IT.

Рет қаралды 19,112

Tips Javascript

Күн бұрын

Пікірлер: 40

@datdat5504 Ай бұрын

nội dung quá hay mong chú làm thêm nhiều video

@choidkdk 23 күн бұрын

Phần lý thuyết có thể tóm gọn trong tầm 30 giây. phần thực hành thì xem cho biết thôi chứ không nên áp dụng vào dự án thực tế. Về cơ bản vấn đề này đã được các framework hay các bộ thư viện khác xử lý rồi, chúng ta chỉ cần sử dụng thôi.

@anonystick 21 күн бұрын

Vâng ạ!

@nguyenhao4584 Ай бұрын

Video hay quá anh. Em các keyword về cách anh test benchmark và về các tầng RateLimiter để nghiên cứu tiếp ạ.

@dsdsdsdsdsds-d5g Ай бұрын

với câu hỏi ở đầu video, có thể xử lý như Rate Limiting, Queueing cho các yêu cầu, Asynchronous ...

@thangtran9045 22 күн бұрын

Chủ đề của bác chủ Video rất hay. Có vẻ bác biết rộng và sâu, nhưng mà bác trình bày không tốt lắm. Bác nói chậm hơn, có ngắt dừng, bỏ bớt các thông tin thừa đi thì sẽ rất cuốn hút hơn. Một chút góp ý, mong sẽ có nhiều Video có chất lượng

@anonystick 21 күн бұрын

Cảm ơn sự góp ý của Bác!

@tutosolve 17 күн бұрын

bác góp ý lịch sự đấy, chứ em nói thẳng thắn hơn với chủ thớt là : nói dài dòng những thứ không cần thiết và không liên quan, nói không tập trung vào vấn đề chính.

@phatminh2003 Ай бұрын

Cảm ơn anh

@minhchanhnguyen2857 22 күн бұрын

A ơi vậy nếu hacker biết được hệ thống đang có Rate Limit và tấn công DoS. Lúc đó request của người dùng bình thường cũng bị chặn thì nên xử lý thế nào ạ

@KhangTuong-ty7jt 24 күн бұрын

cho e xin link nội dung vấn đề này nâng cao với ạ!

@chamdencamxuc Ай бұрын

tks u a .

@notech165 20 күн бұрын

cho em xin link discord học hỏi với ạ

@levanhaobpable Ай бұрын

em xin góp ý, đây mới chỉ là giải pháp bề nổi , chặn request , còn bề chìm vẫn có cách check dc time request kế tiếp, hoặc kiên trì đợi hết time, nếu như vẫn đi sâu vào lấy SMS, OTP, Mail tính phí hết thì làm thế nào giảm bớt chi phí a

@anonystick Ай бұрын

Fresher BE em... Anh nói trong video nâng cao thì 3 tier bren Go

@phikhanh993 Ай бұрын

@@anonystick video đó có chưa anh

@dsdsdsdsdsds-d5g Ай бұрын

Áp dụng rate limiting cho SMS/email, xác thực hai yếu tổ, lưu cái mã vào để gửi tiếp nếu mã chưa hết hạn, và thực hiện các biện pháp xác thực khác đối với user

@ey3474 Ай бұрын

Em thường dùng throttle và để nó rất thoải mái, 1 người dùng trong 30s họ không bao h có thể dùng hết giới hạn đó, và nếu ai có spam khi dính throttle thì họ bị khoá tường lửa ngay và luôn, còn về vấn đề 100 r/s thì vì muốn mượt nhất em không có hạn chế, thay vì đó em cố gắng tăng khả năng xử lý r/s nhiều hơn nữa, có tốt không anh?

@jackiedo7370 Ай бұрын

Nó còn tùy vào là api nào đang bị tăng request đột biến, dựa vào ngữ cảnh của từng api riêng mà xác định request đó có bị spam hay không. Ở ví dụ trên, 1 user không thể nào gửi 100 requests forgot password cùng 1 lúc được => đang bị spam => áp dụng rate limit cho nó. Sẽ có 1 câu hỏi triển khai thêm là 1 user chưa đăng nhập thì làm sao biết các request 1 2 3 ... 100 là của user đó ?

@quocanhvu4301 Ай бұрын

@@jackiedo7370 Tại sao phải theo user mà không theo địa chỉ IP nhỉ ?

@ey3474 Ай бұрын

@@jackiedo7370 ở trên là em dùng cho trường hợp chưa đang nhập thành công tức là họ nhập mật khẩu để spam api tìm mật khẩu thì có vẻ cách của em cũng khá ổn rồi anh nhỉ

@ey3474 Ай бұрын

ở câu làm sao biết user này của ai thì em có test 1 lần là đối với api công cộng tức là không cần xác thực thì throttle nó sẽ áp dụng giới hạn theo ip người gọi, và nếu ip người gọi đó dính giới hạn thì lập tức bị chặn ip đó luôn, em chỉ biết được ngang đó

@jackiedo7370 Ай бұрын

@@ey3474 đó là cách xử lý phổ biến nhưng có nhược điểm. 1 công ty 100 máy tính, khi request tới server thì tuy rằng mỗi máy có 1 internal IP riêng nhưng khi ra internet thì 100 máy này chung 1 IP, khi em rate limit 1 máy sẽ ảnh hưởng 99 máy khác

@gakusano5686 Ай бұрын

em nghĩ cái này dùng ở internal thôi chứ ngoài thì nên thêm capcha hay hệ thống check api nào đang nhiều do ip r chặn ip có vấn đề chứ chặn từ phía be e thấy kh hợp lý lắm

@anonystick Ай бұрын

Uhm. Họ đang interview BE em... chứ còn nhiều mà. Nginx...

@BinhNguyen-fd6hv 24 күн бұрын

Nguyên tắc phải đi từ BE rồi đến FE. Trường hợp DDOS thì người ta đã cố phá thì sẽ tìm cách lách qua FE, chưa kể cung cấp các bên khác. Thế mới có câu phòng bệnh còn hơn chữa bệnh

@sonvuong2773 18 күн бұрын

Giữa hàm increase với set expire của a nó có delay nên hàm này chạy nó k đúng 100% đc

@namhoai5282 Ай бұрын

rate limit, backlog

@orangesixtyseven Ай бұрын

Em vừa phỏng vấn vị trí backend developer, ở vòng technical interview thì em lại làm việc với bạn HR, và được yêu cầu giải 2 bài toán sử dụng ngôn ngữ JavaScript trong 60 phút, như trên hacker rank vậy, nhưng đề bài không rõ ràng và không có nhiều lưu ý. Anh cho em hỏi cách phỏng vấn này cần lưu ý gì không ạ

@otis4ex Ай бұрын

Đổi cty khác

@orangesixtyseven Ай бұрын

@@otis4ex do cách phỏng vấn của bên cty không ổn hay sao anh

@ThanhPhan-it5gm Ай бұрын

@@orangesixtyseven test thuật toán thì nhiều cty test mà b. pvan Nab EH đều có vòng đó. làm trên codility như leetcode hay hackerank thui. Còn vụ đề bài không rõ ràng thì mình k rõ lắm, ngta đưa 1 site của họ cho mình làm hay bắt mình làm trên đâu b.

@ducchuy2467 Ай бұрын

@@orangesixtysevengiờ phỏng vấn fresher nó hay đòi giải ba cái giải thuật toán đánh đố kiểu này, nếu bạn nhắm mình làm k nổi thì luyện giải thuật toán , k thì như bác trên nói là đổi cty khác thôi, phỏng vấn mà giải hacker rank nhìn nó khá vớ vẩn cho fresher theo ý kiến cá nhân, jobs IT giờ ít nên phải chấp nhận thôi

@orangesixtyseven Ай бұрын

@@ducchuy2467 em PV cho vị trí Junior, tham gia PV cũng vài lần nhưng lần đầu gặp phải kiểu PV này =(