Grails Spring Security如何抵御暴力?
我在Grails应用程序中使用Spring安全插件进行身份验证和授权。用户可以尝试无数次输入密码。是否有针对暴力攻击应用某种防御的配置设置。例如,尝试10次后,是否不允许用户尝试登录 简单的回答是,Spring Security没有提供任何实现来防止针对帐户的暴力企图 但是,它确实为您提供了实施自己的策略以防范它们的方法。通常,您需要对失败的身份验证事件实现回调。您在这里做什么取决于您的应用程序的适当操作过程。一些应用程序将简单地增加失败尝试的会话变量,一旦达到该阈值,只需忽略任何进一步的尝试 其他应用程序可能需要将此信息与上次失败的尝试一起保留,并通过在一段时间内特定次数的失败尝试后更新域实例来锁定帐户 在解释如何做到这一点方面做得很好,但通常您希望将spring security核心插件的事件侦听器添加到Grails Spring Security如何抵御暴力?,grails,spring-security,Grails,Spring Security,我在Grails应用程序中使用Spring安全插件进行身份验证和授权。用户可以尝试无数次输入密码。是否有针对暴力攻击应用某种防御的配置设置。例如,尝试10次后,是否不允许用户尝试登录 简单的回答是,Spring Security没有提供任何实现来防止针对帐户的暴力企图 但是,它确实为您提供了实施自己的策略以防范它们的方法。通常,您需要对失败的身份验证事件实现回调。您在这里做什么取决于您的应用程序的适当操作过程。一些应用程序将简单地增加失败尝试的会话变量,一旦达到该阈值,只需忽略任何进一步的尝试
Config.groovygrails.plugin.springsecurity.useSecurityEventListener = true
grails.plugin.springsecurity.onInteractiveAuthenticationSuccessEvent = { e, appCtx ->
// Handle successful login
}
grails.plugin.springsecurity.onAbstractAuthenticationFailureEvent = { e, appCtx ->
// Handle failed login
// example of how to obtain the session if you need it
def request = grails.plugin.springsecurity.web.SecurityRequestHolder.getRequest()
def session = request.getSession(false)
}
您当然可以通过收听另一个使用
bcrypt