web開發,使用者登入頁面是必須處理的。這裡的涉及到一些基本的安全問題,明文的使用者名稱被竊取後,第三方使用窮舉法暴力破解密碼,需要應對。
當使用者未登入時,token還未獲取,退一步講,即使**奇葩到先設定token或給個cookie來標識client,也不能使用,因為針對這些做的鎖定限制,在使用者關閉瀏覽器、重新開啟後,鎖定將失效。一般的做法是,根據現有的資訊——使用者名稱(使用者名稱不存在直接返回失敗,不影響流程),做鎖定限制,指定一段時間內,針對該使用者的登入操作,不做密碼匹配,全部直接拒絕。這種策略的好處顯而易見,保證使用者名稱至少不會被短時間內被暴力破解。缺點也很明顯,對於使用者不多的管理型**不友好,比如家用的路由器之類的頁面。這類**的特點是使用者數目不會很多,重點是進行許可權控制,當拿到使用者名稱後,可以用機械人一直給web伺服器傳送該使用者的登入,使使用者一直處於鎖定狀態,影響正常業務。
對於管理型的**,個人認為更適合的也許是對client ip的鎖定。不是使用登入頁面在驗證時,http首部攜帶的client資訊,因為這個太容易偽造,而是從client與server之間的tcp連線資訊獲取。雖然這樣也可以通過偽造tcp連線來規避,但目前的網路裝置使這種偽造有了諸多的限制,也可以復用伺服器所在環境防ddos的策略。
python 使用者登入與鎖定錯誤賬戶(待優化)
此文參考 root kali python atm4 vi logocopy.py usr bin python coding utf 8 import sys,os,getpass,tab,time,datetime defvartime d1 datetime.datetime 2017,6,1...
Centos7 使用者登入失敗N次後鎖定使用者禁止登陸
針對linux上的使用者,如果使用者連續3次登入失敗,就鎖定該使用者,幾分鐘後該使用者再自動解鎖。linux有乙個pam tally2.so的pam模組,來限定使用者的登入失敗次數,如果次數達到設定的閾值,則鎖定使用者。1 限制使用者遠端登入 在 pam 1.0的下面,即第二行,新增內容,一定要寫在...
Oracle 使用者解鎖後還是會鎖定的原因
在伺服器上有乙個資料庫,使用df6100i wisdom.df6100 energydb登入時提示 user 已經被鎖定,執行 alter user df6100i account unlock 命令,賬戶解鎖,可以登入,但是第二天還是提示使用者被鎖定 原因 據庫安全配置中,需要做相關的安全加固工作...