Summary

Use HTTPS em produção.
Nunca exponha Bearer tokens em código client-side ou repositórios públicos.
Respeite throttling de login e de endpoints públicos.
Use apenas os endpoints documentados e trate 401, 403, 422 e 429 corretamente.
HTTP/1.1 429 Too Many Requests
Retry-After: 60
Content-Type: application/json