Authentication 防止拒绝服务在多次尝试后锁定用户帐户
在一个特定的时间窗口内尝试了足够多的失败后,锁定用户帐户似乎是一种常见的做法 我想知道你是如何防止拒绝服务攻击的,因为一个恶意用户如果拥有他想做的人的用户名,就可以快速地进行登录尝试 补救方法是仅锁定超过登录尝试次数+窗口的用户的IP地址的帐户吗 还有更好的办法吗 编辑:Authentication 防止拒绝服务在多次尝试后锁定用户帐户,authentication,passwords,denial-of-service,Authentication,Passwords,Denial Of Service,在一个特定的时间窗口内尝试了足够多的失败后,锁定用户帐户似乎是一种常见的做法 我想知道你是如何防止拒绝服务攻击的,因为一个恶意用户如果拥有他想做的人的用户名,就可以快速地进行登录尝试 补救方法是仅锁定超过登录尝试次数+窗口的用户的IP地址的帐户吗 还有更好的办法吗 编辑: 我不想让我的用户在每次登录尝试时都解决验证码问题。您不应该通过IP阻止用户,因为可能是真正的用户忘记了密码并手动重试。 最糟糕的事情(从业务角度来看)是,真正的用户将无法访问您的服务 所以,你的问题实际上是“我怎么知道用户不是
我不想让我的用户在每次登录尝试时都解决验证码问题。您不应该通过IP阻止用户,因为可能是真正的用户忘记了密码并手动重试。 最糟糕的事情(从业务角度来看)是,真正的用户将无法访问您的服务 所以,你的问题实际上是“我怎么知道用户不是机器人?” 处理这一问题最常用的方法之一是对多次登录尝试使用不同的机制。 例如,谷歌在大约3次试用后使用验证码, 所以一个自动机器人会被困在这个舞台上 当然可以让机器人读取验证码,但这只是一个开始 您可以在他们的官方网站上阅读有关验证码实施的更多信息:
这里还有其他的替代方法:你不应该用用户的IP阻止用户,因为可能是真正的用户忘记了他的通行证并手动重试了。 最糟糕的事情(从业务角度来看)是,真正的用户将无法访问您的服务 所以,你的问题实际上是“我怎么知道用户不是机器人?” 处理这一问题最常用的方法之一是对多次登录尝试使用不同的机制。 例如,谷歌在大约3次试用后使用验证码, 所以一个自动机器人会被困在这个舞台上 当然可以让机器人读取验证码,但这只是一个开始 您可以在他们的官方网站上阅读有关验证码实施的更多信息: 其他备选方案如下: