在特定时间窗口内尝试多次失败后锁定用户帐户似乎是一种常见的做法。
我想知道您如何防止拒绝服务攻击,因为拥有他希望 DoS 的用户名的恶意用户可以简单地快速进行登录尝试。
是否仅针对超过登录尝试次数+窗口的用户的IP地址锁定帐户?
有没有更好的办法?
编辑:
我不想让我的用户在每次登录尝试时解决验证码。
问问题
638 次
1 回答
1
您不应该通过其 IP 阻止用户,因为可能是一个真正的用户忘记了他的通行证并手动进行了重试。最糟糕的事情(商业方面)是真实用户将无法访问您的服务。
所以,你的问题实际上是“我怎么知道用户不是机器人?”。
处理此问题的最流行方法之一是使用不同的机制进行多次登录尝试。例如,谷歌在大约 3 次试验后使用 Captcha,所以自动机器人会卡在这个阶段。
当然,可以让机器人读取验证码,但这是一个开始。
您可以在他们的官方网站上阅读有关验证码实现的更多信息:http: //www.captcha.net/
这里的其他替代想法:http: //econsultancy.com/il/blog/63144-six-alternatives-to-using-the-dreaded-captcha-images
于 2013-12-08T08:41:26.360 回答