Grails 的 Spring Security 插件是否支持在 X 次登录尝试失败后自动锁定帐户?“帐户锁定”的文档部分仅提到有一个accountLocked
属性。
如果不是开箱即用,那么实施它的最佳方法是什么?
Grails 的 Spring Security 插件是否支持在 X 次登录尝试失败后自动锁定帐户?“帐户锁定”的文档部分仅提到有一个accountLocked
属性。
如果不是开箱即用,那么实施它的最佳方法是什么?
不,它不会为您处理。您需要跟踪登录尝试,然后自行锁定。文档在这里说了很多。
您可以使用此功能手动锁定用户帐户或使密码过期,但您可以自动执行该过程。例如,使用 Quartz 插件定期使每个人的密码过期,并强制他们转到他们更新密码的页面。跟踪用户更改密码的日期,并在密码超过固定的最大使用期限后使用 Quartz 作业使密码过期。
我会使用插件的事件功能并实现我自己的 AuthenticationFailureEvent。跟踪用户的登录尝试,并在第三次尝试时翻转锁定位。您可能还想实现自己的 AuthenticationSuccessEvent 以便在他们在第 3 次尝试之前获得该位时可以重置该位。