Rate limiting в Express своими руками

Лимит - первая линия обороны

Любая открытая форма входа или API - мишень для перебора. Базовый лимит запросов отсекает большую часть мусора.

const limiter = rateLimit({ windowMs: 60_000, max: 30 });
app.use("/login", limiter);

Общий мягкий лимит на весь сайт плюс жёсткий на чувствительные точки (вход, отправка форм). За обратным прокси не забудьте trust proxy, иначе все запросы будут с одного IP и лимит превратится в общий бан.