feat(security): rate limiting /api/v1/auth/login — HRT-62 #6

Open

admin wants to merge 0 commits from feature/HRT-62-rate-limiting-login into master

pull from: feature/HRT-62-rate-limiting-login

merge into: admin:master

admin:master

admin:feature/HRT-202-billing-tables

admin:feature/HRT-226-consumption-dashboard

admin:feature/HRT-200-ai-router

admin:feature/HRT-199-admin-client-crud

admin:feature/HRT-93-ml-feedback-saas

admin:feature/HRT-96-note-intelligence-ml

admin:feature/HRT-80-api-tokens-webhooks

admin:feature/HRT-82-org-multi-compte

admin:feature/HRT-81-history-blueprint

admin:feature/HRT-79-telegram-alerts

admin:feature/HRT-84-dashboard-premium-pro

admin:feature/HRT-83-meteo-terrain-ml-predictions

admin:feature/HRT-73-fix-api-proxy

admin:feature/HRT-72-fix-overpass-query

admin:feature/HRT-66-leadhunter-core

admin:feature/HRT-63-password-blacklist-complexity

admin:feature/HRT-43-ml-cache-null-test

admin:feature/ml-upgrade-ensemble

admin:feature/api-v1-refacto

admin:feature/landing-onboarding

admin:feature/devops-cicd

Conversation 0 Commits - Files Changed -

admin commented 2026-04-27 14:50:46 +02:00

Owner

Copy Link

Fix brute force sur /api/v1/auth/login

Ticket: HRT-62

Changements

saas_auth.py

• Ajout rate limiter in-memory IP-based dans la route login()
• 5 tentatives max / 5 min par IP (fenêtre glissante)
• Blocage 15 min après dépassement
• Retourne 429 + header Retry-After
• Uniquement stdlib: collections.defaultdict, threading.Lock, time

portal_server.py

• Import et enregistrement de rate_limit_middleware + access_log_middleware
• Ces middlewares existaient dans middleware.py mais n'étaient pas appliqués sur portal_server.py

tests/security/test_security.py

• Ajout de TestLoginRateLimit avec 2 tests :
  • test_login_brute_force_blocked_after_5_attempts
  • test_login_429_has_retry_after_header

Tests

• 61 passed, 3 skipped (tests e2e sans fixtures)
• 1 test integration échoue car il frappe le serveur live qui n'a pas encore été redémarré avec le nouveau code (attendu - restart après validation CTO uniquement)

Action requise

Après merge, redémarrer le service portal (systemctl/pm2) pour activer le fix.

## Fix brute force sur /api/v1/auth/login **Ticket:** HRT-62 ### Changements #### `saas_auth.py` - Ajout rate limiter in-memory IP-based dans la route `login()` - 5 tentatives max / 5 min par IP (fenêtre glissante) - Blocage 15 min après dépassement - Retourne 429 + header `Retry-After` - Uniquement stdlib: `collections.defaultdict`, `threading.Lock`, `time` #### `portal_server.py` - Import et enregistrement de `rate_limit_middleware` + `access_log_middleware` - Ces middlewares existaient dans `middleware.py` mais n'étaient pas appliqués sur `portal_server.py` #### `tests/security/test_security.py` - Ajout de `TestLoginRateLimit` avec 2 tests : - `test_login_brute_force_blocked_after_5_attempts` - `test_login_429_has_retry_after_header` ### Tests - 61 passed, 3 skipped (tests e2e sans fixtures) - 1 test integration échoue car il frappe le serveur live qui n'a pas encore été redémarré avec le nouveau code (attendu - restart après validation CTO uniquement) ### Action requise Après merge, redémarrer le service portal (systemctl/pm2) pour activer le fix.

admin added 2 commits 2026-04-27 14:50:46 +02:00

HRT-43 — Test intégration ml_predictions_cache : zéro NULL hippodrome ... 82d6bdafba

- Ajout tests/test_ml_cache_integrity.py : 7 tests integration vérifiant
  que hippodrome, race_label et heure ne sont pas NULL pour la date courante
- Ajout marqueur 'integration' dans pytest.ini
- Connexion DB en lecture seule (mode=ro) pour protection prod
- Support variable d'env TEST_DATE et TURF_DB_PATH
- Tests skippés proprement si job 19h30 n'a pas encore tourné
- Validé sur les données 2026-04-26 : 7/7 PASSED (1005 lignes, 0 NULL)

Co-Authored-By: Paperclip <noreply@paperclip.ing>

feat(security): add IP-based rate limiting on /api/v1/auth/login — fix brute force HRT-62 ... 7f5573f076

- saas_auth.py: in-memory sliding-window rate limiter (5 attempts/5min, 15min block)
  using collections.defaultdict + threading.Lock, stdlib only, no new deps
- portal_server.py: register rate_limit_middleware + access_log_middleware
  (was missing, leaving global 100req/min limit unApplied on portal routes)
- tests/security/test_security.py: add TestLoginRateLimit class with
  test_login_brute_force_blocked_after_5_attempts and test_login_429_has_retry_after_header

Co-Authored-By: Paperclip <noreply@paperclip.ing>

This branch is already included in the target branch. There is nothing to merge.

View command line instructions

Checkout

From your project repository, check out a new branch and test the changes.

git fetch -u origin feature/HRT-62-rate-limiting-login:feature/HRT-62-rate-limiting-login

git checkout feature/HRT-62-rate-limiting-login

Sign in to join this conversation.

Reviewers

No Reviewers

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

admin

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: admin/turf_saas#6