Rate limit login

Author: ninori9

knowledge-manager-ui/src/app/components/login/login.component.ts

@@ -50,15 +50,23 @@ export class LoginComponent {
       },
       error: (err) => {
         console.error('Login failed:', err);
-        this.snackBar.open(
-          'Login fehlgeschlagen. Bitte stellen Sie sicher, dass Ihre E-Mail-Adresse bestätigt ist, Ihr Passwort korrekt ist und Ihr Konto von einem Administrator freigegeben wurde.',
-          'Schließen', {
-          duration: 4000,
-          horizontalPosition: 'right',
-          verticalPosition: 'top',
-          panelClass: ['error-snack-bar'],
+        if (err?.status === 429) {
+          this.snackBar.open(
+            'Zu viele Login-Versuche. Bitte versuchen Sie es später erneut.',
+            'Schließen',
+            { duration: 4000, horizontalPosition: 'right', verticalPosition: 'top', panelClass: ['error-snack-bar'] }
+          );
+        } else {
+          this.snackBar.open(
+            'Login fehlgeschlagen. Bitte stellen Sie sicher, dass Ihre E-Mail-Adresse bestätigt ist, Ihr Passwort korrekt ist und Ihr Konto von einem Administrator freigegeben wurde.',
+            'Schließen', {
+              duration: 4000,
+              horizontalPosition: 'right',
+              verticalPosition: 'top',
+              panelClass: ['error-snack-bar'],
+            }
+          );
         }
-        );
       }
     });
   }

reverse-proxy/nginx.conf

@@ -8,6 +8,12 @@ lua_shared_dict mail_limit 10m;
 # Per-user chat limit: 15 requests per day
 lua_shared_dict chat_limit 10m;
 
+# Global daily cap for login attempts
+lua_shared_dict login_global 1m;
+
+# Tiny token-bucket just to smooth bursts
+lua_shared_dict login_bucket 1m;
+
 server {
     listen 80;
     listen [::]:80;
@@ -175,4 +181,48 @@ server {
         proxy_set_header X-Internal-Access "true";
         proxy_set_header Origin $http_origin;
     }
+
+    location = /api/users/login {
+        access_by_lua_block {
+            local gdict = ngx.shared.login_global
+            local gkey  = "global"
+            local gcount = gdict:get(gkey) or 0
+            if gcount >= 40 then
+                ngx.log(ngx.ERR, "Global login limit reached")
+                return ngx.exit(429)
+            end
+            local ngc, err = gdict:incr(gkey, 1)
+            if not ngc then
+                gdict:set(gkey, 1, 86400)
+            end
+
+            local limit = require "resty.limit.req"
+            local lim, err = limit.new("login_bucket", 5/60, 10)
+            if not lim then
+                ngx.log(ngx.ERR, "login bucket init failed: ", err)
+                return ngx.exit(500)
+            end
+
+            local delay, err = lim:incoming("bucket", true)
+            if not delay then
+                if err == "rejected" then
+                    return ngx.exit(429)
+                end
+                ngx.log(ngx.ERR, "login bucket error: ", err)
+                return ngx.exit(500)
+            end
+
+            if delay >= 0.001 then
+                ngx.sleep(delay)
+            end
+        }
+
+        proxy_pass http://angelos-server:9007;
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_set_header X-Internal-Access "true";
+        proxy_set_header Origin $http_origin;
+    }
 }