О каких ключевых мерах безопасности следует помнить при развертывании серверных приложений? [закрыто] ⇐ Python

[Anonymous]

Я разрабатываю собственное расширение Chrome, которое отправляет запросы к моей серверной службе (FastAPI), развернутой в GCP Cloud Run, которая выполняет более ресурсоемкие задачи. Серверная часть настроена для управления авторизацией CORS и OAuth2. Однако я столкнулся с проблемой при отключении неаутентифицированного трафика на уровне GCP: GCP блокировал предполетные запросы CORS «OPTIONS», поскольку в них отсутствовал заголовок «Authorization».
Несмотря на просмотр нескольких потоков StackOverflow , я не смог найти решение. Chat GPT предложил разрешить неаутентифицированный трафик на уровне GCP, обеспечивая при этом аутентификацию на уровне приложения. Я реализовал это, и это работает, но у меня есть некоторые опасения:
Достаточно ли безопасен этот подход? Меня беспокоит, что без каких-либо ограничений на уровне GCP серверная часть может быть уязвима для DDoS-атак, что приведет к значительному увеличению затрат. Обеспечит ли в этом случае реализация ограничения скорости в моем приложении достаточную безопасность?

Подробнее здесь: https://stackoverflow.com/questions/790 ... ckend-apps