W tym przypadku to pewnie nie ma wiekszego znaczenia, ale co do zasady lepiej throttlowac uzytkownikow a nie IP bo mozesz w ten sposob np. cala uczelnie albo biurowiec wyciac :)
Userów - owszem, ma to sens, ale zauważ, co napisał parę postów wcześniej autor wątku - Większość endpointów zabezpieczam JWT ale /register z wiadomych powodów nie
. Skoro masz problem/obawę że będzie spamowanie/atak botów na endpoint od rejestracji, to nie da się przecież blokować usera, bo on jeszcze nie istnieje/dopiero powstaje na tym etapie.
Pytanie do @Bambo - czy masz realne podstawy, żeby się tego obawiać, coś się dzieje/działo albo z innego powodu jesteś przekonany, że coś będzie się działo, czy to takie dmuchanie na zimne i zabezpieczanie przed czymś, co może się nigdy nie przytrafić?