MVc Identity登陆锁定

最新推荐文章于 2023-03-21 08:00:02 发布
最新推荐文章于 2023-03-21 08:00:02 发布
阅读量285 收藏
点赞数
文章标签: 测试 数据库
原文链接:http://www.cnblogs.com/x-poior/p/7891886.html
版权
2016-08-03

[ASP.NET Identity] OAuth Server 鎖定(Lockout)登入失敗次數太多的帳號

這個功能看似很簡單,但我一直無法成功鎖定帳號,追根究柢就是不了解運作方式,以下就來分享實作心得

Lockout 相關成員

欄位

帳號失敗次數鎖定,在 AspNetUsers Table 用三個欄位控制

  • LockedEnable:是否啟用鎖定
  • AccessFailedCount:失敗次數
  • LockoutEndDateUtc:鎖定到期時間

行為
  • ApplicationUserManager.SetLockoutEnabledAsync(user.Id) 方法,控制 LockedEnable 欄位= true | false
  • ApplicationUserManager.AccessFailedAsync(user.Id) 方法,控制 LockoutEndDateUtc 和 AccessFailedCount 欄位。
當調用一次 AccessFailedAsync(),AccessFailedCount 累加一,超過定義次數,AccessFailedCount 歸零,寫入 LockoutEndDateUtc 時間
  • ApplicationUserManager.SetLockoutEndDateAsync() 方法,控制結束鎖定時間
  • ApplicationUserManager.IsLockedOutAsync(user.Id) ,以 LockoutEndDateUtc 和 LockedEnable 欄位決定是否為 Lockout

另外,ApplicationSignInManager 也能處理 Lockout

  • ApplicationSignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true),
屬性

還有三個屬性,可以定義,分別是:

  • ApplicationUserManager.DefaultAccountLockoutTimeSpan 屬性,鎖定時間
  • ApplicationUserManager.MaxFailedAccessAttemptsBeforeLockout 屬性,最多失敗次數
  • ApplicationUserManager.UserLockoutEnabledByDefault 屬性,建立帳號時是否啟用鎖定

Step1.定義 Lockout 屬性

@Startup.cs

把控制 Lockout 的屬性放在 Startup.CreateUserManager 方法集中建立

 

@AppSetting.cs

這個類別,提供讀取 Web.Config 的屬性並 Cache 起來,以免一個 Request 請求就讀一次檔案

public class AppSetting
{
	private static TimeSpan? s_defaultAccountLockoutTimeSpan; private static int? s_maxFailedAccessAttemptsBeforeLockout; private static bool? s_userLockoutEnabledByDefault; public static TimeSpan DefaultAccountLockoutTimeSpan { get { if (!s_defaultAccountLockoutTimeSpan.HasValue) { double result; if (double.TryParse(ConfigurationManager.AppSettings["DefaultAccountLockoutTimeSpan"], out result)) { s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(result); } else { s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(20); } } return s_defaultAccountLockoutTimeSpan.Value; } set { s_defaultAccountLockoutTimeSpan = value; } } public static int MaxFailedAccessAttemptsBeforeLockout { get { if (!s_maxFailedAccessAttemptsBeforeLockout.HasValue) { int result; if (int.TryParse(ConfigurationManager.AppSettings["MaxFailedAccessAttemptsBeforeLockout"], out result)) { s_maxFailedAccessAttemptsBeforeLockout = result; } else { s_maxFailedAccessAttemptsBeforeLockout = 5; } s_maxFailedAccessAttemptsBeforeLockout = result; } return s_maxFailedAccessAttemptsBeforeLockout.Value; } set { s_maxFailedAccessAttemptsBeforeLockout = value; } } public static bool UserLockoutEnabledByDefault { get { if (!s_userLockoutEnabledByDefault.HasValue) { bool result; if (bool.TryParse(ConfigurationManager.AppSettings["UserLockoutEnabledByDefault"], out result)) { s_userLockoutEnabledByDefault = result; } else { s_userLockoutEnabledByDefault = true; } s_userLockoutEnabledByDefault = result; } return s_userLockoutEnabledByDefault.Value; } set { s_userLockoutEnabledByDefault = value; } } }

 

Step2.撰寫鎖定邏輯

@AuthorizationServerProvider.cs

在取得 Token 的 GrantResourceOwnerCredentials 方法裡面,控制帳號鎖定邏輯

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context) { var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>(); var user = await userManager.FindByNameAsync(context.UserName); if (user == null) { var message = "Invalid credentials. Please try again."; context.SetError("invalid_grant", message); return; } var validCredentials = await userManager.FindAsync(context.UserName, context.Password); var enableLockout = await userManager.GetLockoutEnabledAsync(user.Id); if (await userManager.IsLockedOutAsync(user.Id)) { var message = string.Format( "Your account has been locked out for {0} minutes due to multiple failed login attempts.", AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes); ; context.SetError("invalid_grant", message); return; } if (enableLockout & validCredentials == null) { string message; await userManager.AccessFailedAsync(user.Id); if (await userManager.IsLockedOutAsync(user.Id)) { message = string.Format( "Your account has been locked out for {0} minutes due to multiple failed login attempts.", AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes); } else { var accessFailedCount = await userManager.GetAccessFailedCountAsync(user.Id); var attemptsLeft = AppSetting.MaxFailedAccessAttemptsBeforeLockout - accessFailedCount; message = string.Format( "Invalid credentials. You have {0} more attempt(s) before your account gets locked out.", attemptsLeft); } context.SetError("invalid_grant", message); return; } if (validCredentials == null) { var message = "Invalid credentials. Please try again."; context.SetError("invalid_grant", message); return; } await userManager.ResetAccessFailedCountAsync(user.Id); var oAuthIdentity = await userManager.CreateIdentityAsync(user, OAuthDefaults.AuthenticationType); var properties = CreateProperties(user.UserName); var oAuthTicket = new AuthenticationTicket(oAuthIdentity, properties); context.Validated(oAuthTicket); }

 

Step3.撰寫測試程式碼

可以在測試程式碼裡直接注入 Lockout 屬性

[ClassInitialize]
public static void Initialize(TestContext testContext) { Database.SetInitializer(new DropCreateDatabaseIfModelChanges<ApplicationDbContext>()); AppSetting.UserLockoutEnabledByDefault = true; AppSetting.DefaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(5); AppSetting.MaxFailedAccessAttemptsBeforeLockout = 3; }

 

在測試程式碼,我模擬登入失敗超過三次

[TestMethod]
public async Task Login_Fail_3_Lockout_3Test() { await RegisterAsync(); Password = "Pass@w0rd2~"; var token1 = await LoginAsync(); token1.ErrorDescription.Should() .Be("Invalid credentials. You have 2 more attempt(s) before your account gets locked out."); Password = "Pass@w0rd2~"; var token2 = await LoginAsync(); token2.ErrorDescription.Should() .Be("Invalid credentials. You have 1 more attempt(s) before your account gets locked out."); Password = "Pass@w0rd2~"; var token3 = await LoginAsync(); token3.ErrorDescription.Should() .Be("Your account has been locked out for 5 minutes due to multiple failed login attempts."); }
假如你一直無法在 Production 裡面正確的使用 Lockout 請查看資料庫確認該帳號的 LockoutEnabled 有被打開。
 
原文:
https://dotblogs.com.tw/yc421206/2016/08/03/asp_net_identity_oauth_user_lockout

转载于:https://www.cnblogs.com/x-poior/p/7891886.html

weixin_30663471
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET Core 3.X 集成Identity,实现注册、登录、登出
willianyy的专栏
08-28 1338
最近做一个小项目,实在不想在用户鉴权与授权上重复造轮子,本着“拿来主义”的想法,因为不想在创建工程的时候被“HTTPS”,所以想去集成一下微软自带的Identity组件,在网上找了很多资料,都是.net core 2.X的集成方式,踩了不少坑,也从2.X中汲取了不少经验,特此立贴,以记录学习过程。以下为集成步骤: 1.Nuget引包 Microsoft.AspNetCore.Identity.EntityFrameworkCore【核心组件】 Microsoft.EntityFrameworkCo
.net mvc 输错密码锁定用户_摄像头密码连续输错被锁定如何解锁
weixin_39939918的博客
11-24 282
我们在录像机上添加摄像头的时候,由于密码错误导致摄像头添加失败,并且多次试错导致摄像头被锁定。这时就算你想起正确的密码添加也会不显示并且提示用户被锁定。这时我们会想到,删除添加失败的摄像头并且将所有设备断电重启,再重新添加,你会发现,情况依旧,添加好了还是不显示并且提示用户被锁定。这样的情况,我们该如何成功添加摄像头。下面我们以海康摄像头为例,如何解锁被锁定的摄像头。我们在海康录像机添加海康摄像头...
CQRS学习——集成ASP.NET Identity[其五]
weixin_34256074的博客
10-30 130
【其实和Cqrs没啥关系】 缘由 其实没啥原因,只是觉得以前写了不知多少遍的用户登录复用性太差,实现的功能也不多。 依赖的Nuget包 简单登陆 就简单登陆而言,只需要实现如下接口/抽象类: Store相关: IUserLockoutStore<DpfbUser,Guid> , IUserPasswordStore<DpfbUser,Guid>, IUs...
ASP.NET Core Identity 系列十二
dotNET跨平台
03-21 268
这节我们主要介绍在ASP.NET Core Identity中如何锁定用户,Lockout功能为改善应用程序安全提供保障,当用户多次输入错误密码之后,用户账号就会被锁定,这个技术在防止黑客暴力攻击方面是非常有用的,特别是反复尝试猜测密码1、配置用户锁定功能在Identity中启用用户的Lockout功能,可以通过IdentityOptions 来配置,代码如下:通过设置AllowedForNewU...
MVC使用ASP.NET Identity 2.0实现用户身份安全相关功能,比如通过短信或邮件发送安全码,账户锁定等...
weixin_34221112的博客
01-08 500
本文体验在MVC中使用ASP.NET Identity 2.0,体验与用户身份安全有关的功能:   →install-package Microsoft.AspNet.Identity.Samples -Version 2.0.0-beta2 -Pre 安装后,在App_Start,Controllers, Models, Views等处都添加了多个文件。在App_Start/IdentityCo...
ASP.NET Core Identity 实战(1)——Identity 初次体验
weixin_34365635的博客
05-22 501
ASP.NET Core Identity是用于构建ASP.NET Core Web应用程序的成员资格系统,包括成员资格、登录和用户数据存储 这是来自于 ASP.NET Core Identity 仓库主页的官方介绍,如果你是个萌新你可能不太理解什么是成员资格,那我来解释一下,成员资格由 membership 直译而来, membersh...
MVC源码实例完整版
09-04
6. **认证和授权**:了解用户账户的锁定解锁机制,以及ASP.NET Identity或自定义身份验证的实现。 7. **路由配置**:查看全局路由设置,了解如何将URL映射到控制器和动作。 8. **错误处理**:学习应用程序如何处理...
登录MVC基于 fromwork 1.0.zip
04-25
在本文中,我们将深入探讨如何在ASP.NET MVC框架下实现基于FormWork 1.0的登录功能。MVC(Model-View-Controller)是一种广泛应用于Web应用开发的设计模式,它鼓励分离关注点,使得代码更加模块化和易于维护。...
ASP.NET MVC
12-30
- **使用User.Identity.Name属性**:获取当前登录用户的信息,用于权限判断。 #### AJAX与动态功能 - **实现RSVP响应**:通过AJAX技术实现实时响应用户操作,无需刷新整个页面即可更新部分数据。 - **集成地图...
Asp.net core Identity + identity server + angular 学习笔记 (第二篇)
weixin_34161064的博客
04-26 567
先纠正一下第一篇的的错误. 在 Login.cshtml 和 Login.cshtml.cs 里, 本来应该是 Register 我却写成 Login . cshtml 修改部分 <form asp-page="Login" asp-page-handler="Register"> <input type="text" name="username"...
ABP 权限拦截 第二篇
weixin_30328063的博客
09-04 1414
由于访问人数过多,我今天从新整理一下ABP权限认证机制,帮助大家更容易读懂 1、Abp 的权限拦截主要通过过滤器, public class AbpAuthorizationFilter : IAsyncAuthorizationFilter, ITransientDependency 实现的,他的代码如下 public class AbpAuthorizationFi...
.NET应用程序安全操作概述
farway000的博客
11-27 945
介绍此页面旨在为开发人员提供.NET安全提示。.NET Framework.NET Framework是Microsoft用于企业开发的主要平台。它是ASP.NET,Windows桌面应...
Asp.Net Core之Identity应用(上篇)
dotNET跨平台
01-29 879
一、前言在前面的篇章介绍中,简单介绍了「IdentityServer4」持久化存储机制相关配置和操作数据,实现了数据迁移,但是未对用户实现持久化操作说明。在总结中我们也提到了,因为「Id...
Surging 微服务框架使用入门
热门推荐
dotNET跨平台
04-06 1万+
前言本文非 Surging 官方教程,只是自己学习的总结。如有哪里不对,还望指正。 我对 surging 的看法我目前所在的公司采用架构就是类似与Surging的RPC框架,在.NET 4.0框架上搭建Socket RPC,通过分组轮询的方式调度RPC,经历过3次双十一的考验,实际最高时有800多人同时作业,同时并发达到600人/连接rpc ,24小时不间断作业,这是实际数据,理论上更高,只需要加
今天 发现 LCD显示器 出现 "OSD Lockout" 并且无法对显示器进行调节,解决方法如文中所示...
weixin_33910137的博客
05-22 485
When the monitor is set correctly for its intended application, it isrecommended to enable OSD lockout function to prevent accidentaladjustment by casual user.To lock the OSD: When there is no OSD dis...
ASP.NET 开发必备知识点(2):那些年追过的ASP.NET权限管理
weixin_34233421的博客
01-11 173
一、前言    在前一篇文章已经为大家介绍了OWIN和Katana,有了对他们的了解之后,才能更好地去学习Asp.net Identity,因为Asp.net Identity的实现集成了Owin。其实在Asp.net 2.0的时候,微软已经对用户权限管理进行了实现,其实现为Membership。由于之前的实现有很多限制,所以微软在Asp.net 4.5推出了Asp.net Identity。接...
idea spring mvc登陆页面
最新发布
06-28
使用Spring MVC登陆页面的步骤如下: 1. 创建一个Controller类,用于处理登陆页面的请求和响应。 2. 在Controller类中定义一个方法,用于处理登陆页面的GET请求,该方法返回一个视图名称,用于渲染登陆页面。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值