私はSpring Security 2.0.3を実行しており、単純な辞書攻撃ブロックを実装する必要があります。埋め込みは非常に簡単で、userstatusのプロパティとブロックされた値を追加します。最後のログイン以降の試行。問題は、Spring Security を介して適切なページにリダイレクトする方法、またはさらに良い方法
で login.jsp にリダイレクトし、いくつかのセッション マーカーを介して入力をブロックする方法です (これはもちろん JS ブロックですが、それでも必要です)。Spring Security の UserDetailService インターフェイスは、loadByUserName を定義します。独自の BadCredentialsException 拡張機能をスローできるようにするメソッドですが、ExceptionTranslationFilter ではそれを利用できません。Spring でそれを行う組み込みの方法はありますか、それとも何かをハックする必要がありますか? ありがとう
2 に答える
0
DB の count/blocked フラグを更新し、リダイレクトを行う AuthenticationFailureHandler を実装します。とにかく攻撃者がクッキーを送信するつもりはないので、私はセッションの使用を期待しません。
于 2011-01-31T22:45:14.213 に答える
0
ドキュメントのセクション 2.3.5 を見てみましょう。 これを行う方法は、Pre-authフィルターまたはAuthentication Processingブルート フォース スタイルの攻撃に対するチェックを実装するフィルターのいずれかを実装することです。ユーザーがあまりにも多くのリクエストを行ったかどうかなどを確認するチェックを除いて、ほとんどの場合、元のフィルター クラスに委譲するだけのフィルターを作成することをお勧めします。別の方法として、すべての機能を上書きするのではなく、すべての機能をオーバーライドすることもできます。元のフィルターに委任します。
于 2011-01-31T14:28:05.483 に答える