пва

server/src/routes/auth.js

@@ -10,7 +10,7 @@ import {
 } from '../lib/auth.js'
 import { generateAvatar } from '../lib/generate-avatar.js'
 import { prisma } from '../lib/prisma.js'
-import { checkLoginRateLimit } from '../lib/rate-limit.js'
+import { checkCodeRequestRateLimit, checkCodeVerifyRateLimit, checkLoginRateLimit } from '../lib/rate-limit.js'
 
 export function mapUserForClient(user) {
   const adminEmail = normalizeEmail(process.env.ADMIN_EMAIL)
@@ -30,6 +30,15 @@ export async function registerAuthRoutes(fastify) {
     const email = normalizeEmail(request.body?.email)
     if (!email || !email.includes('@')) return reply.code(400).send({ error: 'Некорректная почта' })
 
+    const ip = request.ip
+    const rate = checkCodeRequestRateLimit(ip)
+    if (!rate.allowed) {
+      return reply
+        .code(429)
+        .header('Retry-After', String(rate.retryAfter))
+        .send({ error: `Слишком много запросов. Попробуйте через ${rate.retryAfter} сек.` })
+    }
+
     const code = await issueEmailCode({ email, purpose: 'login' })
 
     const adminEmail = process.env.ADMIN_EMAIL?.trim().toLowerCase()
@@ -50,6 +59,15 @@ export async function registerAuthRoutes(fastify) {
     if (!email || !email.includes('@')) return reply.code(400).send({ error: 'Некорректная почта' })
     if (!code || code.length !== 6) return reply.code(400).send({ error: 'Код должен быть из 6 цифр' })
 
+    const ip = request.ip
+    const rate = checkCodeVerifyRateLimit(ip)
+    if (!rate.allowed) {
+      return reply
+        .code(429)
+        .header('Retry-After', String(rate.retryAfter))
+        .send({ error: `Слишком много попыток. Попробуйте через ${rate.retryAfter} сек.` })
+    }
+
     const ok = await verifyEmailCode({ email, purpose: 'login', code })
     if (!ok) return reply.code(401).send({ error: 'Неверный или истёкший код' })