web2py增加连续N次登录密码错误自动锁定用户

已于 2023-12-27 15:28:55 修改
阅读量59 收藏 1
点赞数 1
分类专栏: web2py 文章标签: 服务器 python web web2py
于 2023-10-19 14:44:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010018782/article/details/133925913
版权

前面文章我们改造增加了 “web2py增加第一次登录和定期强制修改密码功能”和“web2py增加登录图片验证码改造”功能,另外一个信息安全管理常用的功能点是:如果用户连续N次登录密码错误自动锁定用户,N根据自己需求设定。本次改造需要改gluon下的tools.py源码,同时为auth_user表扩充一个字段:

一、auth_user表扩充一个字段:
 

新字段用于记录连续错误次数,在db.py文件中添加:

auth.settings.extra_fields['auth_user'] = [Field('pwWrong','integer',label='密码错误次数')]

二、Auth类下的login方法修改


搜索"if settings.login_form == self:"段落

原来长这样:

            if settings.login_form == self:
                form = SQLFORM(table_user,
                               fields=[username, passfield],
                               hidden=dict(_next=next),
                               showid=settings.showid,
                               submit_button=self.messages.login_button,
                               delete_label=self.messages.delete_label,
                               formstyle=settings.formstyle,
                               separator=settings.label_separator,
                               extra_fields=extra_fields,
                               )

                ....
                ....
                ....
                ....

                if form.accepts(request, session if self.csrf_prevention else None,
                                formname='login', dbio=False,
                                onvalidation=onvalidation,
                                hideerror=settings.hideerror):

                ....
                ....
                ....
                ....
                   if user:                  
                        .....
                        .....
                        .....
                        if not user:
                            # alternates have failed, maybe because service inaccessible
                            if settings.login_methods[0] == self:
                                # try logging in locally using cached credentials
                                if form.vars.get(passfield, '') == temp_user[passfield]:
                                    # success
                                    user = temp_user

改成这样:

            if settings.login_form == self:
                form = SQLFORM(table_user,
                               fields=[username, passfield],
                               hidden=dict(_next=next),
                               showid=settings.showid,
                               submit_button=self.messages.login_button,
                               delete_label=self.messages.delete_label,
                               formstyle=settings.formstyle,
                               separator=settings.label_separator,
                               extra_fields=extra_fields,
                               )

                ....
                ....
                ....
                ....

                if form.accepts(request, session if self.csrf_prevention else None,
                                formname='login', dbio=False,
                                onvalidation=onvalidation,
                                hideerror=settings.hideerror):

                ....
                ....
                ....
                ....
                   if user:
                        # todo 锁定账号不再后续验证
                        if user.pwWrong == 0:
                            session.flash = '账号密码已连续输错5次,账号已锁定'
                            redirect(self.url(args=request.args, vars=request.get_vars),client_side=settings.client_side)
                  
                        .....
                        .....
                        .....
                        if not user:
                            # alternates have failed, maybe because service inaccessible
                            if settings.login_methods[0] == self:
                                # try logging in locally using cached credentials
                                if form.vars.get(passfield, '') == temp_user[passfield]:
                                    # success
                                    user = temp_user
                                    # todo 输对了就重置次数
                                    if user.pwWrong != 5:
                                        current.db(table_user.id == user.id).update(pwWrong=5)
                                        current.db.commit()
                                # todo 用户名对,密码不对,则5次密码错误后,锁定用户
                                else:
                                    if temp_user.pwWrong != None:
                                        current.db(table_user.id == temp_user.id).update(pwWrong=temp_user.pwWrong-1)
                                        current.db.commit()
                                    else:
                                        current.db(table_user.id == temp_user.id).update(pwWrong=4)
                                        current.db.commit()
                                    session.flash = '密码错误,连续输错5次账号将锁定,还剩'+str(table_user[temp_user.id].pwWrong)+'次机会'
                                    redirect(self.url(args=request.args, vars=request.get_vars),client_side=settings.client_side)

熙金顺乐葵攘
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
笔试、面试题收集(主要是Python Web开发)编辑中。。。
Henry1991back的博客
11-22 1万+
Python 语言 类变量和实例变量 @staticmethod 和 @classmethod;@property 闭包,装饰器,迭代器,yield,生成器? staticmethod和装饰器的区别? *args 和 **kwargs 鸭子类型 @property 和 @setter Python的垃圾回收机制(GC: garbage collection) Python垃圾回收机制–完美讲...
连续登陆失败锁定账户
weixin_34218890的博客
03-23 2735
连续登录失败锁定账户 需求说明:1、输入用户名2、认证成功,提示登录成功,欢迎信息3、登录失败连续,提示失败,并退出程序备注:1、users_info是存放用户名及其密码的文件,格式: 用户密码, 之间用空格隔开2、locked_file是存放被锁定用户id的文件,默认为空,格式为: 用户名3、程序会对users_info里的合法用户id进行判断,若连续输入错误,提示失败并退出...
项目安全等保测评加固手册_服务器未设置密码复杂度策略,未定期更换口令
zzz6583zz的博客
08-07 1041
安全等级测评的目的是通过对目标系统在安全技术及管理方面的测评,对目标系统的安全技术状态及安全管理状况做出初步判断,给出目标系统在安全技术及安全管理方面与其相应安全等级保护要求之间的差距。测评结论作为委托方进一步完善系统安全策略及安全技术防护措施依据!!
移动端自动
七七的博客
12-19 1262
Appium。
Kali Linux渗透测试——密码破解
子曰小玖的博客
06-01 4015
当目标系统无任何已知漏洞时,可以考虑社会工程学或者获取目标系统用户身份,通过合法账户登录绕过系统的安全防线。账户登录身份认证包括账号密码、passphrase、密保、手机、指纹、声纹、面部识别等,其中账号密码是安全级别较低的认证方式,基于互联网的身份认证仍以账号密码为主要形式。 密码破解的方法通常有基于社会工程学的人工猜测、基于字典的暴力破解以及基于中间人攻击的密码嗅探。 文章目录 一、字典 (一)Crunch (二)Cupp (三)Cewl (四)John the Rip..
CTF密码学总结(二)
热门推荐
沐一 · 林 的博客
11-03 3万+
CTF 密码学总结 出人意料的flag: 指在题目中获取到了flag,但是这个flag可能长得不像flag,或者flag还要经过进一步的脑洞处理,而不是常规的解密处理。 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述暗
软件测试及自动化测试
Eunnm的博客
07-25 5716
软件测试及自动化测试
Kali Linux渗透测试 106 离线密码破解
Make
07-24 966
版权声明:本文为博主原创连载文...
护网蓝队面试题
weixin_44248977的博客
05-22 9712
护网蓝队面试
【PTE】Linux操作系统安全
HkD01L的博客
10-29 1977
CISP-PTE国家注册信息安全渗透测试工程师课程笔记 Linux系统安全
2、测试面试题总结整理
qq_45778920的博客
08-08 3747
分享学习,享受快乐(*^▽^*)
DRBD9用户指南
andy-chenqi
05-06 1266
DRBD9用户指南 目录 请先看这个. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 DRBD简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 953
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Linux:五种IO模型
MaoRuofeng的博客
09-09 819
阻塞IO: 在内核将数据准备好之前,系统调用会一直等待.所有的套接字,默认 都是阻塞方式。非阻塞 IO: 如果内核还未将数据准备好, 系统调用仍然会直接返回, 并且返回EWOULDBLOCK 错误码。 非阻塞 IO 往往需要循环的方式反复尝试读写文件描述符(对于CPU会有较大的浪费), 这个过程称为轮询。 信号驱动 IO: 内核将数据准备好的时候, 使用 SIGIO 信号通知应用程序进行 IO操作。IO 多路转接: 虽然从流程图上看起来
本地Linux服务器使用docker搭建DashDot并实现公网实时监测服务器信息
最新发布
小沈.的博客
09-10 961
本地Linux服务器使用docker搭建DashDot并实现公网实时监测服务器信息
ssh之登录服务器后,自动进入目录(四十七)
Android系统攻城狮
09-05 1122
本篇目的:ssh之登录服务器自动进入目录SSH(Secure Shell)是一种网络协议,用于计算机之间的加密登录和其他安全网络服务。它在1995年由芬兰学者Tatu Ylönen发明,旨在解决网络通信中的安全问题,如数据窃听、密码泄露等。以下是关于SSH的详细介绍。一、SSH的工作原理SSH通过在网络中建立加密通道,实现数据传输的机密性和完整性。其主要工作原理如下:客户端发起连接:客户端向服务器发起SSH连接请求。服务器认证:服务器向客户端发送公钥,客户端使用该公钥对服务器进行认证。
新加坡服务器:亚洲地区的优选之选
seaarea_818的博客
09-07 524
在众多海外服务器中,新加坡服务器以其独特的地理位置、先进的技术支持、稳定的网络环境以及完善的法律保障,成为了亚洲地区乃至全球企业竞相选择的对象。综上所述,新加坡服务器凭借其优越的地理位置、先进的基础设施、稳定的政治环境、丰富的带宽资源、优惠的价格策略以及完善的数据安全保障措施,成为了亚洲地区乃至全球企业竞相选择的服务器部署地。大量的数据中心分布在新加坡各地,这些数据中心不仅配备了高端的硬件设备,还采用了先进的运维技术和管理模式,确保了服务器的稳定运行和高效性能。先进的基础设施,卓越的服务器配置。
【银河麒麟高级服务器操作系统】虚拟机服务器执行systemctl提示timeout——分析全过程及处理建议
银河麒麟操作系统的博客
09-10 708
了解全新产品,请点击访问产品信息产品名称银河麒麟高级服务器操作系统(海光版)V10ISO环境信息主机型号虚拟机systemd崩溃,后续systemd连接异常,systemctl失败。需要查明systemd崩溃原因根据sosreport中的messages信息,systemd发生了coredump,收到了信号SIGQUIT。见图2.1.1图2.1.1使用gdb分析systemd的coredump文件,显示systemd是收到了SIGQUIT后发生的coredump。并未调用错误处理函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值