【发布时间】:2011-07-31 09:53:36
【问题描述】:
我正在开发一个应用程序,如果 N 次尝试失败,我需要在某些地方引入验证码。这些地方可以是注册、登录、添加到愿望清单、订阅等。这也是为了确保任何人都不会尝试拒绝服务攻击和暴力攻击。 Spring Security 中是否有这种机制?
【问题讨论】:
标签: java spring jakarta-ee spring-security
我正在开发一个应用程序,如果 N 次尝试失败,我需要在某些地方引入验证码。这些地方可以是注册、登录、添加到愿望清单、订阅等。这也是为了确保任何人都不会尝试拒绝服务攻击和暴力攻击。 Spring Security 中是否有这种机制?
【问题讨论】:
标签: java spring jakarta-ee spring-security
Spring Security 中没有直接的内容,但应该很容易将登录计数存储在用户会话中,并检查 JSP 中的计数以呈现验证码是必要的。
【讨论】:
实现一个 AuthenticationFailureHandler 更新数据库中的计数/时间。您不能指望使用会话,因为攻击者无论如何都不会发送 cookie。
【讨论】:
【讨论】:
如果您将 reCAPTCHA 与 Spring Security 一起使用,这很有帮助 http://krams915.blogspot.com/2011/02/spring-security-3-integrating-recaptcha.html
【讨论】: