Как ограничить количество запросов на отправку письма активации не записывая нечего в базу данные?

Question

[AvKa3003]

Я отправляю на почту ссылку на активацию аккаунта. В этой ссылке twt токен с двумя полями. Первое это хэш из почты, id юзера, и секретного ключа который мы воссоздаем на сервере и сверяем с тем что был в ссылке. Вторая - почта юзера. Таким образом я сделал ссылку активации аккаунта без надобности хранения данных на сервере.

Только теперь не знаю как ограничить количество запросов на повторную отправку письма активации.

Можно записывать в редис, но тогда не будет смысла в том что все данные для проверки в ссылке уже есть.
Придется просто генерировать uuid и записывать его в редис с почтой или айдишником пользователя.

Comments

[szQocks]

а какой вообще смысл в этой ссылке и переход по ней, если в бд ничего не записываешь / ничего не обновляешь ?

[AvKa3003]

szQocks, изменить статус пользователя на активный. Но не храня данные о самой ссылке.

[szQocks]

AvKa3003, понял, туплю

Только теперь не знаю как ограничить количество запросов на повторную отправку письма активации.

- просто нужно проверять активирован ли у него аккаунт, если нет - то только в этом случае отправлять ссылку на почту

[AvKa3003]

szQocks, можно будет отправлять запросы на активацию сколько угодно раз хоть 10 раз в секунду. На всех сайтах есть ограничение минут в пять.

[szQocks]

AvKa3003, + если имелось ввиду полное ограничение запросов то тут без помощи бд вряд ли конечно будет решение, или в крайнем случае можно ограничить по времени между запросами на уровне прокси например nginx для эндпоинта активации аккаунта, что бы через каждые N минут можно было только запрашивать запрос активации аккаунта и тогда бд не нужна будет

[szQocks]

AvKa3003, короче либо через прокси как-то ограничить по времени эндпоинт, либо в бд записывать дату о том когда последний раз был запрос на активацию аккаунта, и сверять время + проверять не активирован ли аккаунт

если аккаунт не активирован и время позволяет отправить ссылку на почту - отправлять

[AUser0]

Хранить только один (самый последний) запрос на что-то там. Нормальный пользователь не должен запрашивать 10 одновременно работающих активаций...

Answer 1

[rPman]

Добавь в ссылку время создания кода активации и огранич ее время жизни, т.е. лимит не на количество.

Так же добавить к ссылке хеш 'от нее плюс секретную соль', или используй ассиметричное ее шифрование, чтобы не дать ее взломать

Comments

[AvKa3003]

Так и сделано. Но это время жизни токена, а не таймаут на отправку новых писем.

[rPman]

Количество можно считать только записывая где то события

Точно помню статью, где за такие вещи отвечал модуль nginx на lua, храня эти данные в памяти