1. Cấu hình Session Identifier

Session identifier là một giá trị giúp xác định duy nhất từng phiên làm việc của client khi truy cập API.

Session identifier rất quan trọng để kích hoạt các cơ chế bảo vệ sau:

✅Sequence Mitigation → Phát hiện các chuỗi yêu cầu bất thường để ngăn chặn các cuộc tấn công API.

✅ Rate Limiting → Giới hạn số lượng yêu cầu theo từng phiên để ngăn chặn bot hoặc tấn công brute-force.

✅ Sequence Analytics & Authentication Posture → Cung cấp báo cáo chi tiết về cách API được sử dụng.

Cách cấu hình :

1. Log in to the Cloudflare dashboard ↗ and select your account and domain.

2. Go to Security > API Shield.

3. Select Settings.

4. On Endpoint settings, select Manage identifiers.

5. Choose the type of session identifier (cookie, HTTP header, or JWT claim).

JWT claim nghĩa là một phần tử trong JWT thành vì liệt kê tất cả để Cloudflare

payload của JWT:

{
  "sub": "user1234",
  "email": "[email protected]",
  "role": "admin",
  "iat": 1700000000,
  "exp": 1700003600
}

Có thể sử dụng một claim như sub hoặc email để làm Session Identifier trong API Shield vì nó rất phổ biến với tất cả JWT.

HTTP Header:

Header : authorization dùng để xác thử

Header : host dùng để xác định tên miền mà client đang gửi request đến.