Security 在无效登录尝试后阻止浏览器实例
我们对web应用程序有安全要求。我们需要阻止浏览器实例在3次无效登录尝试后包含所有选项卡。它应该与用户ID无关。Security 在无效登录尝试后阻止浏览器实例,security,cookies,web,browser,Security,Cookies,Web,Browser,我们对web应用程序有安全要求。我们需要阻止浏览器实例在3次无效登录尝试后包含所有选项卡。它应该与用户ID无关。 例如,我打开一个浏览器实例,使用三个不同的用户登录,但都失败了。当我尝试第四次尝试时,登录页面上会出现错误,显示“关闭浏览器实例并尝试新实例” 我的问题是如何识别服务器端的浏览器实例。策略是什么 一个选项是使用cookie使用会话id。但是,即使用户在两次尝试之间清除cookie,我也希望它能够正常工作 还有其他想法吗?在浏览器端尝试做的任何事情实际上都是毫无意义的。它不会阻止一个恶
例如,我打开一个浏览器实例,使用三个不同的用户登录,但都失败了。当我尝试第四次尝试时,登录页面上会出现错误,显示“关闭浏览器实例并尝试新实例” 我的问题是如何识别服务器端的浏览器实例。策略是什么 一个选项是使用cookie使用会话id。但是,即使用户在两次尝试之间清除cookie,我也希望它能够正常工作
还有其他想法吗?在浏览器端尝试做的任何事情实际上都是毫无意义的。它不会阻止一个恶意用户,只会挫败那些忘记密码、想尽一切办法尝试的无知用户 处理这类事情的最好方法就是站在巨人的肩膀上。像Google/Facebook这样的大公司是如何处理这件事的?如果您只关注安全性,而不真正关心用户体验,那么这将不是您理想的答案。然而,如果你必须在两者之间取得平衡,我会这样做 看看谷歌做了什么。每个用户和每个IP地址都会有几次尝试,如果您还没有开始录制,则需要开始录制。在几次尝试失败后,您向他们显示验证码。如果他们继续尝试,您将不再与机器人打交道,您可以相应地进行调整。您必须通过帐户和IP来处理这一问题,因为恶意用户只需更改他们的IP以持续攻击一个帐户,所以您需要能够处理这两种情况
尝试通过向用户展示忘记密码功能是多么容易来帮助他们。如果您看到来自同一IP的足够多的用户名尝试,您可以将其升级到锁定模式。但是要小心,恶意用户可以使用许多IP地址,有时普通用户都通过一个IP连接。还要确保他们不能锁定你的管理员帐户或数据库中的所有人 您试图在浏览器端执行的任何操作实际上都是毫无意义的。它不会阻止一个恶意用户,只会挫败那些忘记密码、想尽一切办法尝试的无知用户 处理这类事情的最好方法就是站在巨人的肩膀上。像Google/Facebook这样的大公司是如何处理这件事的?如果您只关注安全性,而不真正关心用户体验,那么这将不是您理想的答案。然而,如果你必须在两者之间取得平衡,我会这样做 看看谷歌做了什么。每个用户和每个IP地址都会有几次尝试,如果您还没有开始录制,则需要开始录制。在几次尝试失败后,您向他们显示验证码。如果他们继续尝试,您将不再与机器人打交道,您可以相应地进行调整。您必须通过帐户和IP来处理这一问题,因为恶意用户只需更改他们的IP以持续攻击一个帐户,所以您需要能够处理这两种情况
尝试通过向用户展示忘记密码功能是多么容易来帮助他们。如果您看到来自同一IP的足够多的用户名尝试,您可以将其升级到锁定模式。但是要小心,恶意用户可以使用许多IP地址,有时普通用户都通过一个IP连接。还要确保他们不能锁定你的管理员帐户或数据库中的所有人 登录页面上的“关闭浏览器实例并尝试新实例”应该会出错。因此,在用户关闭浏览器并重新打开浏览器后,将允许他们再尝试3次登录?这是正确的。每个浏览器实例的失败尝试都将被重置。登录页面上的“关闭浏览器实例并尝试新实例”应该会出错。因此,在用户关闭浏览器并重新打开浏览器后,将允许他们再尝试3次登录?这是正确的。每个浏览器实例的失败尝试都将被重置。我喜欢你的建议,非常感谢。@Prashant太好了,我很高兴。祝你好运我喜欢你的建议,非常感谢。@Prashant太好了,我很高兴。祝你好运