如何选择尝试在互联网上登录超过 10 次的唯一用户
本文关键字:登录 用户 唯一 互联网 何选择 选择 | 更新日期: 2023-09-27 18:30:46
我目前开发了一个网站,我的用户必须登录到网站。当用户来时,我为他/她创建一个Session,并为他保存时间+登录失败的时间。当用户尝试5次登录时,我向他显示一个CAPTCHA并强迫他输入CAPTCHA代码。现在,我希望当用户尝试超过10次时,将他重定向到一个简单的HTML文件中,向他显示该You are ban for 2 hours。问题是我如何在互联网中选择唯一用户?关于用户的哪些信息可以一起选择唯一用户?
您要求用户登录,因此听起来您已经为每个用户提供了一个唯一的登录ID,并且您的潜在担忧是防止恶意用户破坏您的系统以锁定不同的有效用户,同时仍然阻止他们破解密码。 这是对的吗?
您无法绝对肯定地阻止恶意用户使用您的入侵防护方案来干扰其他用户。 如果您看到有人试图暴力破解其他用户的密码,那么您可以将该 IP 地址锁定一段时间......或者可能只是该帐户的 IP 地址...但是,您冒着恶意用户位于 NAT 网关的共享 IP 后面的风险,从而导致同一网关后面的所有其他用户被锁定。 发送到您的服务器的任何信息都可能被欺骗,因此这是一种平衡行为。 用户ID和IP地址的组合在代表一个独特的个人方面并不是绝对可靠的,但它足以防止最常见的滥用行为。
考虑到站点中的用户名是唯一的,您可以使用用户名和会话的组合来阻止特定用户。如果用户在不同机器上使用相同的用户名 10 次,则可以阻止它。