在用户三次错误尝试后显示validation码
我正在开发一个应用程序,如果N次尝试失败,我需要在某些地方引入validation码。 这些地方可以注册,登录,添加到心愿单,订阅等。这也是为了确保任何人都不能尝试拒绝服务攻击和暴力攻击。 Spring Security中是否有这样的机制?
Spring Security中没有任何内容,但是应该很容易在用户会话中存储登录计数,并检查JSP中的计数以呈现CAPTCHA是必要的。
实现一个AuthenticationFailureHandler,用于更新DB中的计数/时间。 您不能指望使用会话,因为攻击者无论如何都不会发送cookie。
如果您正在使用带有Spring Security的reCAPTCHA ,这很有用http://krams915.blogspot.com/2011/02/spring-security-3-integrating-recaptcha.html