我目前开发了一个网站,我的用户必须登录该网站。当用户来时,我Session为他/她创建了一个,并为他节省了登录失败的时间 + 时间。当用户尝试 5 次登录时,我向他展示一个CAPTCHA并强制他输入CAPTCHA代码。现在我想要当用户尝试超过 10 次时次,将他重定向到一个简单的HTML文件中,向他展示You are ban for 2 hours。问题是我如何在互联网上选择唯一用户?关于用户的哪些信息可以选择一个唯一的用户?
问问题
129 次
2 回答
1
您要求用户登录,所以听起来您已经为每个用户拥有了一个唯一的登录 ID,而您潜在的担忧是防止恶意用户破坏您的系统以锁定不同的有效用户,同时仍然阻止他们从密码破解。那是对的吗?
您不能绝对肯定地阻止恶意用户使用您的入侵保护方案来干扰其他用户。如果您看到有人试图暴力破解另一个用户的密码,那么您可以锁定该 IP 地址一段时间......或者可能只是该帐户的那个 IP 地址......但是您冒着被NAT 网关共享 IP 后面的恶意用户导致同一网关后面的所有其他用户被锁定。发送到您的服务器的任何信息都可能被欺骗,因此这是一种平衡行为。用户 ID 和 IP 地址的组合就代表一个独特的个人而言并非万无一失,但足以防止最常见的滥用行为。
于 2012-04-11T06:12:49.340 回答
0
考虑到站点中的用户名是唯一的,您可以使用用户名和会话的组合来阻止特定用户。如果用户在不同的机器上使用相同的用户名 10 次,它可以被阻止。
于 2012-04-11T05:58:00.397 回答