用户登录限制-----错误后锁定机制的讨论

最新推荐文章于 2022-12-01 19:41:50 发布
最新推荐文章于 2022-12-01 19:41:50 发布
阅读量3.6k 收藏
点赞数 1
分类专栏: 工作总结 文章标签: web开发 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26654881/article/details/53193497
版权

  WEB开发,用户登录页面是必须处理的。这里的涉及到一些基本的安全问题,明文的用户名被窃取后,第三方使用穷举法暴力破解密码,需要应对。
  当用户未登录时,token还未获取,退一步讲,即使网站奇葩到先设置token或给个cookie来标识Client,也不能使用,因为针对这些做的锁定限制,在用户关闭浏览器、重新开启后,锁定将失效。一般的做法是,根据现有的信息——用户名(用户名不存在直接返回失败,不影响流程),做锁定限制,指定一段时间内,针对该用户的登录操作,不做密码匹配,全部直接拒绝。这种策略的好处显而易见,保证用户名至少不会被短时间内被暴力破解。缺点也很明显,对于用户不多的管理型网站不友好,比如家用的路由器之类的页面。这类网站的特点是用户数目不会很多,重点是进行权限控制,当拿到用户名后,可以用机器人一直给WEB服务器发送该用户的登录,使用户一直处于锁定状态,影响正常业务。
  对于管理型的网站,个人认为更适合的也许是对Client IP的锁定。不是使用登录页面在验证时,HTTP首部携带的Client信息,因为这个太容易伪造,而是从Client与Server之间的TCP连接信息获取。虽然这样也可以通过伪造TCP连接来规避,但目前的网络设备使这种伪造有了诸多的限制,也可以复用服务器所在环境防DDOS的策略。
  

Dream_B
关注
专栏目录
蓝牙核心规范(V5.2)3.2-深入详解之数据传输架构
心跳包的博客
08-20 2463
蓝牙篇之蓝牙核心规范(V5.2)深入详解汇总 目录 1.核心传输承载 1.1帧数据传输 1.1.1 L2CAP层服务 1.1.2 BR/EDR L2CAP通道相中的数据帧数据传输 1.1.3 L2CAP通道和通道管理器 1.2 非帧数据传输 1.2.1 SCO或eSCO逻辑链路 1.2.2配置文件广播数据逻辑链路 1.3 可靠的传输承载 1.3.1BR/EDR可靠性 1.3.2 LE可靠性 1.3.3 AMP可靠性 2.传输架构实体 2....
系统登录失败次数超过限定次数,则根据IP或用户名锁定,需要过了锁定时间才可以继续登录
最新发布
weixin_43165220的博客
06-26 4549
之前做的项目都有用户名锁定机制,即:用户名失败次数超过多少次,就锁定这个用户不可以再登录,需要等过了锁定时间才可以继续登录。然后最近的一个项目中,有个漏洞整改措施中,提到了这个锁定机制不能只根据用户名锁定,还要根据IP锁定
用户登录错误次数限制、并实现:错误登录次数、登录错误间隔时间、封禁时间,参数的可配
热门推荐
qq_38493490的博客
05-23 2万+
只供自己查看....我这属于代码乱贴 1、可配参数说明: 错误登录次数:用户可“连续”输入错误的次数; 登录错误间隔时间:第一次错误~最后一次错误的间隔时间(此处用分钟做计算); 封禁时间:登录错误次数达到上限后,禁止用户登录的时长(此处用分钟做计算); 2、表设计: h_login_miss:记录登录次数和状态-主表 h_login_log:记录登录信息-附表-主要记录...
登录功能实现账号锁定
lxzGood的博客
08-14 931
实训项目实现登录功能
两程序员玩“锁”,一人抢救无效身亡
weixin_44798738的博客
03-22 224
房间里灯光昏暗,两个男人相对而坐, 良久,眼睛男率先打破僵局, 眼睛男,知道锁么 帅气男,知道些, 眼睛男:什么是锁? 一种保护机制,在多线程的情况下,保证操作数据的正确性/一致性, 眼镜男:有哪几种分类? 悲观锁,乐观锁,独占锁,共享锁,公平锁,非公平锁,分布式锁,自旋锁 眼睛男:讲讲乐观锁悲观锁吧 一般喜欢放在数据库来讲(其实这两个概念是属于计算机的,不要被误导),就说mysql吧,悲观锁,...
java三次登录锁定_单点登录原理与实现就是这么简单
weixin_39635130的博客
12-02 465
一、单系统登录机制1、http无状态协议  web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系  但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求...
电子-flash.rar
09-05
用户可以利用Bootloader进行空中下载(OTA)固件更新,这需要理解Bootloader的入口地址、重定位策略和错误处理机制。 4. **保护机制** 为了确保程序安全,STM32提供了多种保护机制。例如,可以锁定某些扇区防止...
linux用户登录失败N次锁定用户几分钟后该用户再自动解锁.pdf
10-08
本文档将详细讨论Linux环境下通过PAM模块实现的用户登录控制机制,特别是在用户连续登录失败达到一定次数后,系统将自动锁定用户账户,并在一段时间后自动解锁。 首先,PAM(Pluggable Authentication Modules)是...
Sql2008技术内幕-T-Sql查询
03-21
7. **事务与并发控制**:讨论SQL Server 2008的事务管理,包括事务的ACID属性,以及并发控制机制,如锁定和行版本控制。 8. **高级查询技巧**:涵盖如递归查询、集合操作、动态SQL和嵌套事务等复杂查询技术。 9. *...
T-SQL中的事务处理和锁定机制
# 1. 引言 ### 1.1 什么是事务处理 事务处理是指一系列相关的操作被当作一个单一的工作单元来执行,要么全部成功,要么全部失败。...事务处理和锁定机制密不可分,锁定机制是事务处理的基础,通过
锁定机制和数据并发管理(笔记)
diludu3677的博客
03-25 126
共享锁和排它锁 排它锁:当某一个会话正在更新某一行,为了防止其他会话修改这一行,这行会被锁定这种锁称为排他锁。被排他锁锁定的行仍然可以被其他会话读取。 共享锁:在一个表上放置共享锁的目的是为了防止其他会话获得这个表上的排他锁。 所有的DML语句都需要这两种锁:受影响记录的排它锁和表的共享锁。排它锁能够防止其他对话干预指定行,共享锁能够阻止其他会话使用DDL语句修改表的定...
用户登录体验(自动时间锁)
weixin_30328063的博客
10-17 120
目前很多网站在登录时都需要验证码,输入用户名再输入密码然后再输入验证码,三项都正确后才能正确登录,但有些让人蛋痛的验证码让人都分不清上面到底是什么,然后不断的刷新直到你能认出来,如果再打错就... 为了用户有更好的体验和网站的安全性的一个平衡决定为网站登录的代码中加入登录时间锁功能。 先说一下思路,一共需要2个字段来记录,一个是最后输入密码的时间,另一个是用来记录输入错的次数,每次输入用户名和...
NFine框架踩过的坑
Xu_Yuanfeng的博客
09-28 560
1.异常在EF中发生,但在用户代码未处理 原因:数据库字段数据类型和Entity里的类型对不起来,粗心所致 解决:数据库的float类型对应实体里的double类型 2.error CS0103:当前上下文中不存在名称"ViewBag" ,"data":null} 原因:缺少web.config文件 3.主从表提交的时候,只提交主表,未提交从表 原因:使用$.submitForm()的时候封装...
初学必看,NFine框架结构加MVC快速开发平台登录流程梳理(附源码)
代码啥东东
04-02 5692
就在上周,我们公司的大佬让我们熟悉一下NFine框架,参考NFine开发平台学习,于是按照步骤一步步的在电脑上部署平台环境,发布测试。 首先是映入眼中的是登录界面 输入账号密码登录 界面还是挺友善的,舒适好看,随便点了一点发现功能几乎都没有实现。。 接下来当然是打开项目代码,查看项目目录结构了,如下图: 先给大家讲一下主要的目录结构,还有对应的功能作用,如果大家以前学过ja...
ASP.NET MVC5入门之简单的登录验证方式
绝圣弃智-零的博客
03-27 3345
开发环境: IDE:VS2013 架构:ASP.NET MVC5 语言:C# 1. 效果图 2.项目结构 解决方案包含两个工程文件: MvcLogin:默认创建的工程,是MVC架构的主体。该工程主要包含LoginController、Login/Index、LocalStyle文件夹,分别对应控制器、视图和应用于该工程的样式和js。 MvcLogin.Methods:方法...
NFine常见错误
weixin_33806509的博客
12-22 682
1、新增数据录入录入不进去提示:An error occurred while updating the entries.See the inner exception for details.   这样的错误无非就是模型的字段,字段类型,值与数据库不统一,如:EMail 和E_Mail 这样都不可以,都要保持一致。 未完待续。。。。。  ...
JAVA实现用户登录错误N次后,账户暂时锁定
洛阳泰山的博客
12-01 5221
本次要实现的需求是,用户登录错误,输入密码错误N次后,实现用户锁定,让用户等待一段时间后重新登录,目的是为了防止黑客暴力破解用户密码
互斥锁必须用同一个吗_你用对锁了吗?浅谈 Java“锁”事
weixin_35747627的博客
01-14 219
每个时代,都不会亏待会学习的人大家好,我是yes。本来打算继续写消息队列的东西的,但是最近在带新同事,发现新同事对于锁这方面有一些误解,所以今天就来谈谈“锁”事和 Java 中的并发安全容器使用有哪些注意点。不过在这之前还是得先来盘一盘为什么需要锁这玩意,这得从并发 BUG 的源头说起。并发 BUG 的源头这个问题我 19 年的时候写过一篇文章, 现在回头看那篇文章真的是羞涩啊。让我们来看下这个源...
JAVA中的COPYONWRITE容器
weixin_44117767的博客
09-27 160
Copy-On-Write简称COW,是一种用于程序设计中的优化策略。其基本思路是,从一开始大家都在共享同一个内容,当某个人想要修改这个内容的时候,才会真正把内容Copy出去形成一个新的内容然后再改,这是一种延时懒惰策略。从JDK1.5开始Java并发包里提供了两个使用CopyOnWrite机制实现的并发容器,它们是CopyOnWriteArrayList和CopyOnWriteArraySet。CopyOnWrite容器非常有用,可以在非常多的并发场景中使用到。 1. 什么是CopyOnWrite容器 C
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值