我有一个托管在亚马逊上的 Spring Web 应用程序,我正面临来自一些自动化机器的登录攻击。从我的日志中,很明显他们正在绕过登录页面,并且正在使用类似的东西:
curl --data "j_username=xxx&j_password=yyy" http://www.mysecureurl.com/j_spring_security_check
我的问题是如何防止此类攻击。有没有办法可以通过一些弹簧配置阻止不直接来自登录页面的此类登录?
然后,当用户从登录页面尝试时,我将实施进一步的安全措施,如验证码、3 次错误尝试后锁定等。