0

我有一个在亚马逊上运行的实时 Spring Web 应用程序,我最近发现了来自各种 IP 的登录攻击。到目前为止,没有任何事情受到损害,因为登录系统足够安全,具有复杂的密码,以及使用盐等进行编码。但是,我想防止这种情况发生。

日志显示的一件事是,攻击者能够以某种方式绕过我的登录页面访问我的服务类(只有身份验证管理器)。我没有用于登录的特殊 url,但是如何在不通过登录 jsp 的情况下调用身份验证管理器/服务等?我可以从我的身份验证服务类(实现 UserDetailsS​​ervice)的 loadUserByUsername() 方法中看到日志记录。任何帮助都感激不尽。

4

1 回答 1

2

为什么你需要login.jsp,你可以模拟一个人发布登录表单,只需要执行所有参数的HTTP post对吗?

如果所有请求都来自同一个 IP,您可以配置防火墙来阻止它。其他机制是在多次失败后延迟(例如 5 次后续失败后延迟 30 分钟)。

如果您想走得更远,两种形式的身份验证将增加安全性,例如,如果用户从未知 IP / 计算机登录,则执行短信确认

于 2013-05-30T06:22:47.210 回答