Какие знаешь методы защиты API

А, слушай, про безопасность API! Ну это же, блядь, целая наука, чтобы всякие левые уроды не полезли куда не надо. Вот смотри, какие есть основные приколы, чтобы твой бэкенд не превратился в общественный сортир.

Первое, и самое главное — Аутентификация. Это когда ты доказываешь, что ты это ты, а не какой-нибудь пиздопроебибна. Самый популярный способ — JWT (JSON Web Tokens). Это такая бумажка с печатью, только цифровая. Сервер её выдаёт, и ты потом с ней ходишь, как с пропуском. Ещё есть OAuth 2.0 — это когда ты заходишь через Гугл или Фейсбук, типа «эй, ребята, это я, ваш Вася, впустите».

Дальше — Авторизация. Это уже не «кто ты?», а «что тебе можно?». Тут часто используют RBAC (Role-Based Access Control). Ну, типа, админ может всё, юзер — только своё, а гость — вообще нихуя, посидеть в прихожей.

Ну и, ёпта, HTTPS — это святое! Без него твои пароли и токены летят по сети, как голые мужики по проспекту, все видят. Включай обязательно, это не обсуждается.

Ещё есть CORS — это такая хитрая жопа, которая говорит браузеру: «Слушай, дружок, твой фронтенд с домена pornhub.com не может лезть к моему API на mybank.com, иди нахуй». Настраивается, чтобы только свои домены могли стучаться.

Rate Limiting — защита от долбоёбов, которые решили тебя заDDOSить. Типа «не больше 100 запросов в минуту с одного IP, а то получишь по ебалу».

И, конечно, Валидация данных. Это чтобы какой-нибудь умник не прислал тебе в поле «имя» скрипт, который весь твой сервер сломает. Всегда проверяй, что тебе шлют, а не слепо доверяй.

Вот, например, как JWT в Node.js выглядит, простенько:

const jwt = require('jsonwebtoken');
const token = jwt.sign({ userId: 123 }, 'SECRET_KEY', { expiresIn: '1h' });

Видишь? Создаёшь токен, зашиваешь в него ID юзера, подписываешь секретным ключом и говоришь, что через час он сдохнет. Красота!

Вот так, вкратце. А то без этого — пидары налетят, и накроется твой проект медным тазом.