本文介绍了登录失败时的重试次数设计,包括错误提示、锁定规则和解锁机制。同时讨论了潜在的安全问题,即攻击者可能利用此设计进行恶意干扰企业业务。
1、登录失败重试次数设计方案
1、无论是账号还是密码错误,统一提示:用户名或密码错误,账号剩余登录次数N!
2、同一账号连续登录失败5次,锁定该账号5分钟,5分钟后可以再重试登录。
开发设计 key:PICC_USER_LOGIN_FAIL_TIMES_用户名 ,value 记录 登录失败次数。
失效时间为24小时,每次登录失败累加1并重置失效时间24小时。
3、账号被锁定后,再登录则提示:账号锁定5分钟,请稍后再试!(至于剩余多长时间不提示)
4、登录成功或账号锁定期限解除,即在缓存里面删除,连续登录失败次数重新计算。
2、方案潜在问题
攻击者如果掌握个别或多个账号,可以连续尝试登录直至失败,目的不是登录系统而是导致用户不能正常登录从而开展业务,导致企业部分或整体业务中断。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
