可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776
我们先考虑一种机器自动攻击的情形:
比如攻击者通过程序,每10秒钟访问登录接口,并且用户名和密码都一样,当然密码是错误的.
如何防止这种攻击呢?
方案一:
(1)登录失败,则开始计数;
(2)判断失败次数是否超过10(次数可以定制),若超过,则直接返回response code为401(无权访问)
,若没有超过,继续访问数据库进行登录验证,登录失败则失败次数加1
(3)登录失败,判断与之前登录失败的密码是否一致,若一致,则失败次数加1;若不一致,则执行(1);
那么有个问题:
判断失败次数是否超过10,则直接返回response code为401,万一修改了密码,原错误密码是正确的怎么办呢?
判断超过10次的基础上,再判断与上次登录相距多久,如果超过1个小时,则仍然查数据库.
(4)若登录成功,则失败次数减1
注意:每个错误密码都对应自身失败的次数,而不是所有错误登录一起计算的.
前10次,还是会查询数据库.后面的登录(相同的错误密码)就不会查询数据库了,什么也不做直接设置response 的status为401.
为什么要处理?有人说就让它登录呗,反正密码是错误的,又登录不进去!
但是这些无效的请求依然会访问数据库,无谓地增加系统负担,所以必须要考虑应对方案.
方案二:
相同的错误密码,连续登录3次之后,后面的登录,直接匹配用户名和密码是否一致,若一致,则直接返回登录失败信息,不一致才真正访问数据库.
(a)登录失败,判断是否有该错误密码的记录,若有,则失败次数+1;若没有则增加记录,错误次数设置为1;
(b)判断失败次数是否超过3,超过则直接返回登录失败,不查询数据库;否则,查询数据库;
(c)若修改密码,则清除该用户所有的错误密码记录.
可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776