蛮力检测 - Keycloak答案

【问题标题】：Brute Force Detection - Keycloak蛮力检测 - Keycloak
【发布时间】：2021-02-22 06:51:24
【问题描述】：

我们开始使用 Keycloak 作为新项目设计的身份和访问管理，并为我新创建的领域启用暴力检测。

它正在工作，但在我的用例中，我必须通知我的用户他们必须再等待 30 分钟才能再次尝试登录，因为他们已达到最大登录失败率。但是在达到最大失败后，每当我尝试使用错误/正确的密码时，我都会收到“invalid_grant”作为错误相同的消息。

{ “错误”：“invalid_grant”， "error_description": "无效的用户凭证" }

如何通过不同的响应消息通知我的用户？

【问题讨论】：

【解决方案1】：

您需要使用自定义的 Direct Grant Authenticator 实施。从这里开始：

但在深入定制之前，我建议您彻底分析您的需求。回复“帐户被锁定”至少可以告诉我我已经成功猜到了用户名，现在我可以继续攻击指定的帐户了。从我的角度来看，最好异步通知（例如通过电子邮件或短信）用户他的帐户可能受到 BF 攻击。

【讨论】：