如何檢查我的Web應用程序的用戶是否嘗試使用不同的憑證登錄？

Question

我試圖從3天內做出或找到​​好方法來檢測是否有用戶試圖用許多登錄憑證登錄我的Web應用程序或進行洪水攻擊，因此我可以在我的登錄中顯示驗證碼作爲示例在此原因中頁面，但沒有運氣。

我可以知道是否有用戶使用登錄用戶名：「xyz」嘗試多次登錄，但如果用戶試圖用許多用戶名登錄，如「xyz1」，「xyz2」，「xyz3」，「admin 」，‘管理員’，‘根’......等

專門用戶可能有不同的會話和隱藏IP或多個IP嘗試。

如果你想知道很好的例子，它的東西就像雅虎和谷歌登錄頁面。

我試圖找到我可憐的語言，谷歌搜索和瀏覽計算器中的許多問題，並沒有發現有價值的文章的方式。

應用程序管理bean有幫助嗎？使用它健康嗎？以及以什麼正確的方式來執行此操作，導致Application managed bean或其他方式？

Answer 1

你不能。正如您發現自己：您無法從Web應用程序內部可靠地保護您的Web應用程序。你的應用中選擇：針對單個用戶名

1. 登錄多次嘗試，這是非常基本的，你會在許多Web應用程序發現這一點;記錄對同一用戶名的失敗登錄嘗試，並在設定的失敗次數後阻止進一步的登錄嘗試。不會繼續從一個單一的IP地址嘗試

2. 登錄多次嘗試，在一段時間跨度這可能是也是相當簡單的停止攻擊，只要你能相信是一個與HTTP發送的IP地址請求。正如你猜測的那樣，你很可能無法相信該IP地址（可能被欺騙，可能是代理等），但是你仍然可以記錄IP地址，並阻止所有的註冊/登錄給定IP地址。不持續阻止攻擊者嘗試

這個留給你，是你的應用程序之外打算什麼：與您的網絡基礎設施供應商合作，能夠及早發現的垃圾郵件和DDoS攻擊，並且磁頭離開關聯的數據包，並可能自動將這些IP地址添加到黑名單。

相關：

• How can I throttle user login attempts in PHP