Security http基本身份验证-允许的最大试用时间?
我正在为一个新项目的登录部分工作,这肯定需要用户身份验证 我认为最简单的方法是使用http基本身份验证。我在Apache服务器上很好地实现了它,ssl也被用于提供更好的安全性 然而,有一件事让我担心,那就是无论用户有多少次未能提供有效的用户名/密码凭证,基本身份验证似乎都不会停止。它会一直问 我认为,由于每次web服务器收到凭据时,它都需要通过密码文件查找匹配项是否存在,因此需要一定数量的服务器资源。我的问题是,这会不会是恶意用户进行DoS攻击的安全风险 如果是这样的话,我如何才能阻止这种情况?通过在Apache上添加一些配置/功能?还是换成其他的身份验证方法?消化和包装 非常感谢您提前提出的建议 第1步:阅读以下内容: 第二步:实现这一点。创建一组按IP地址索引的计数器。IP地址的每次故障都会增加计数器。计数器是睡眠时间——以秒为单位。10次失败的尝试意味着401响应需要10秒。步骤1:阅读以下内容:Security http基本身份验证-允许的最大试用时间?,security,authentication,web-applications,login,basic-authentication,Security,Authentication,Web Applications,Login,Basic Authentication,我正在为一个新项目的登录部分工作,这肯定需要用户身份验证 我认为最简单的方法是使用http基本身份验证。我在Apache服务器上很好地实现了它,ssl也被用于提供更好的安全性 然而,有一件事让我担心,那就是无论用户有多少次未能提供有效的用户名/密码凭证,基本身份验证似乎都不会停止。它会一直问 我认为,由于每次web服务器收到凭据时,它都需要通过密码文件查找匹配项是否存在,因此需要一定数量的服务器资源。我的问题是,这会不会是恶意用户进行DoS攻击的安全风险 如果是这样的话,我如何才能阻止这种情况?
第二步:实现这一点。创建一组按IP地址索引的计数器。IP地址的每次故障都会增加计数器。计数器是睡眠时间——以秒为单位。10次失败的尝试意味着401响应需要10秒。自己处理http身份验证,根据ip地址(在给定时间内)统计登录次数,然后在达到限制时返回401 mod_perl 2.0: mod_php:
mod_python:自己处理http身份验证,根据ip地址(在给定时间内)统计登录数量,然后在达到限制时返回401 mod_perl 2.0: mod_php:
mod_python:谢谢你的链接,不知道在哪里可以找到提示:)谢谢你的链接,不知道在哪里可以找到提示:)谢谢你的建议,我一定会去那里了解更多。谢谢你的建议,我一定会去那里了解更多。