应用登录失败处理功能实现

已于 2024-02-22 16:30:53 修改
阅读量226 收藏
点赞数 2
文章标签: node.js
于 2024-02-22 16:29:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgiij/article/details/136236493
版权
本文介绍了在等保测评中,如何在Node.js应用中实现登录失败处理功能,如IP限制造成的两分钟内三次失败后,限制登录5分钟。通过检测客户端IP并更新登录失败记录,确保满足等保基本要求,防止口令尝试攻击。
摘要由CSDN通过智能技术生成

等保基本要求里,对应用安全中身份鉴别要求有:应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。主要是为了防止口令尝试攻击。应用如果要搞等保测评,发现登录失败处理功能缺失的话,会被要求整改的。所以我们开发应用登录应该有失败处理规则。
以下我们用nodejs示例吧,先定义一个简单的规则吧:同一个客户端IP,在两分钟内连续登录失败三次,限制登录五分钟。
为此我们定义一个json数组loginfaillist,初始值为[],元素格式为{ip,firstfailtime,secondfailtime,failcount,permittime}
每次登录失败要执行一次调用addfail(now,ip)

function addfail(now,ip) {
	item=loginfaillist.find(itm=>(itm.ip==ip));
	if (item==undefined) { loginfaillist.push({ip:ip,firstfailtime:now,secondfailtime:now,failcount:1,permittime:now});}
	else if (item.failcount==0) { 
		item.failcount=1;
		item.firstfailtime=now;
		}
	else if (item.failcount==1) { 
		item.failcount=2;
		item.secondfailtime=now;
		}
	else {  
		if (now.getTime()<item.firstfailtime.getTime()+120000) { item.failcount=0; item.permittime.setTime(now.getTime()+300000); }
		else { item.firstfailtime=item.secondfailtime; item.secondfailtime=now;  }
		}
	}

在登录认证逻辑处理中加入失败处理代码:

...
let clientip=req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
let now=new Date();
let item=loginfaillist.find(itm=>(itm.ip==clientip));
if ((item!=undefined)&&(now<item.permittime)) { 
	res.json({msg:"该IP已触发登录异常,请于"+item.permittime.toLocaleTimeString()+"后再尝试"});//有失败记录,尚未到解禁时间则不执行登录,直接前端提示告警 
	}
else {
	callauth(obj.uid, obj.upw, (err)=> {
		if (err) { 
			...
			addfail(now,clientip); //增加失败记录
			}
		else {
			...
			loginfaillist=loginfaillist.filter(itm=>(itm.ip!=req.ip));//一次登录成功则清空失败记录
			...
			}
		})
	}
...

例程里是拿账号和密码去认证源验证,现在登录认证方式很多,不一定都是这种类型,但是失败处理的思路是一样的,同学们可以自行发挥。

dgiij
关注
SqlServer登录失败处理及空闲超时
ropeverythin的博客
05-15 8067
SqlServer登录失败处理(限制非法登录次数)及空闲超时(针对长时间不操作使得SQL Server Management Studio自动退出或者让你重新输入用户名和口令) 一、SqlServer的登录失败处理 SqlServer的登录失败功能在它本身的系统上是没有体现的,换句话说就是SqlServer没有直接登录失败处理功能,当然SqlServer的登录失败功能也是可以实现的。 可以分两种情况说明,一是如果已勾选A使用Window身份验证,默认继承windows的账户锁定策略。 二是如果选择B
服务器未配置登录失败处理功能以及登录连接超时自动退出功能。 建议启用登录失败处理功能登录失败5次,账户锁定30分钟,登录连接超时30分钟自动退出。
最新发布
u014196765的博客
05-18 1654
服务器未配置登录失败处理功能以及登录连接超时自动退出功能。 建议启用登录失败处理功能登录失败5次,账户锁定30分钟,登录连接超时30分钟自动退出。
linux设置登录失败处理功能
fhw925464207的博客
06-06 3829
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。root_unlock_time=300 #与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间为300秒。(1)编辑系统/etc/pam.d/sshd文件,添的内容与服务器终端的一致。1、登录失败处理功能策略(服务器终端)
后端实现用户多次登陆失败锁定账户
weixin_57254446的博客
06-19 385
刚开始想的是在用户数据库中一个字段login_time,根据这个login_time来决定是否锁定用户以及锁定多长时间。但是我尝试在用户表中新增字段失败了,由于用户数据库是同组其他人完成的,之自己目前对django的数据库操作不是特别熟练,在数据表中添字段的时候报错了,也不知道怎么改。只要再session中添一个键lose_time表示登录失败的次数,当lose_time>=3的时候一定时间内不让这个用户再登录就可以了,经过写代码测试,的确可以实现这个功能
启用系统登录失败处理功能
weixin_30493401的博客
12-04 3208
启用登录失败处理功能(限制非法登录次数,用户远程登录ssh失败超过N次,锁定用户,并设置解锁时间) 配置: 在第一行#%PAM-1.0的下面,即第二行,添如下方代码,一定要写第二行,如果写在下面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的! [root@iZ2efwr6c3dZ tmp]# vim /etc/pam.d/sshd #%PAM-1.0 auth...
Linux操作系统等保三级(整改方案)
枪菜且白给的博客
06-08 8258
1、应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(tail -20/var/log/audit/audit.log(查看最近20行日志);例如要监控/etc/passwd 文件的修改行为,可以使用这个命令: #auditctl -w /etc/passwd -p wa。也可以自己将上述内容入到文件/etc/audit/rules.d/audit.rules 中即可实现对该文件的监视。控制规则可以在/etc/audit/audit.rules 中设置。
Spring Security实现多次登录失败后账户锁定功能
08-25
实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
自定义Spring Security的身份验证失败处理方法
08-25
我们的目标是使用表单登录方法对用户进行身份验证,并且自定义身份验证失败处理方法,以满足我们的需求。 二、认证和授权 在身份验证和授权中,身份验证是指验证用户的身份,而授权是指验证用户是否有权访问应用...
使用java实现“钉钉微应用免登进入某H5系统首页“功能
08-25
在本文中,我们将深入探讨如何使用Java来实现“钉钉微应用免登进入某H5系统首页”的功能。首先,我们需要了解钉钉微应用的基本概念和背景。钉钉微应用是钉钉为企业内部开发的一种轻量级应用形式,它允许企业快速构建...
Spring Security 3多用户登录实现之七 用户验证失败处理改进
04-13
在"Spring Security 3多用户登录实现之七 用户验证失败处理改进"这个主题中,我们将探讨如何优化Spring Security的用户验证流程,以提高用户体验和系统安全性。 1. **用户验证流程**: Spring Security的认证过程...
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
热门推荐
hjxloveqsx的博客
02-13 1万+
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
等保测评之服务器未配置登录失败锁定策略及登录连接超时自动退出策略
guijianchouxyz的博客
10-13 8673
等保测评之服务器未配置登录失败锁定策略及登录连接超时自动退出策略 真是一事未完又来一事哈,昨天收到的等保测评出现了好多的问题,这里将部分问题做一下记录 看看问题 问题如下 测试服务器 主要是测试服务器是不是存在这种问题,经过测试问题存在,测试过程这里省略了 问题描述 恶意人员可通过暴力破解的方式获取账户口令。且设备易被非授权人员恶意操作,存在非授权访问的风险。 问题解决 一下文件配置完成后不需要重启服务器的哈,直接生效,还有就是在操作时,建议保持一个ssh远程连接到服务器,方便出现错误及时的回滚
MySQL启/停 登录失败处理功能
namelesser的博客
02-16 2800
MySQL 动态安装插件实现登录失败处理功能
linux服务器远程控制安全配置
m0_71158138的博客
03-04 1876
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。1. 备份文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak。
项目上下基线检查达梦
weixin_50098749的博客
11-22 401
alter user 用户名 limit failed_login_attemps 5, password_lock_time 30;登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;配置账户登录失败处理功能,限制非法登录次数不小于5次(不含5次),锁定时间为30分钟以上。LOCK_TIME=30 (锁定30分钟)FAILED_NUM=5 (失败5次)
等保 身份鉴别(安全通用要求) mysql 配置并启用登录失败处理功能
孤独,平庸,落魄
12-10 5885
前言: 由于等保要求需要配置,需要配置mysql 登录失败处理功能,现在配置mysql登录失败锁定策略。 环境: 操作系统环境:CentOS Linux release 7.4 数据库版本:MySQL 5.7.33 一,查看是否安装控制插件(默认没有安装,如下图) 二,安装插件 install plugin CONNECTION_CONTROL soname 'connection_control.so'; install plugin CONNECTION_CONTROL_FAI.
Linux登录失败处理功能
weixin_30342827的博客
12-04 1723
本文要实现功能:如果有人恶意尝试破解你的服务器密码,那么这个功能就能帮你起到一定的作用,当尝试密码错误超过设定的次数后,就会锁定该账户多长时间(自行设定),时间过后即可自行解锁,这样可以增攻击者的成本。 服务器系统:centos6.5(centos其他版本应该也是可以的,请自行测试) 1.备份要操作的两个配置文件 cp /etc/pam.d/sshd /etc/pam.d/s...
MySQL密码策略和登录失败处理
weixin_42999287的博客
03-25 6755
目的 1、设置mysql连续登录失败 X 次锁定 X 分钟 一、设置mysql失败处理 1、进入mysql mysql -uroot -p 2、安装插件(windows中为 " connection_control.dll ", liunx中为 " connection_control.so ") install plugin CONNECTION_CONTROL soname 'connection_control.so'; install plugin CONNECTION_CONTROL_FAI
windows操作系统未启用登录失败处理功能引发的威胁
互联网叫兽
09-26 8645
windows操作系统启用登录失败处理功能 要求: Windows操作系统下,打开控制面板-管理工具-本地安全策略 -账户策略-账户锁定策略,设置次数不少于3次。设置锁定时间不短于5分钟。 操作步骤: 单击“开始”→“控制面板”→“系统和安全”→“管理工具”,然后双击“本地安全策略”,打开本地安全策略。(或者直接输入命令secpol.msc 直接进入该控制面板) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值