我正在爲一個新項目的登錄部分工作,這肯定需要用戶驗證。http基本認證 - 允許的最大試用時間?
我這樣做的最簡單方法就是使用http基本認證。我在Apache服務器上很好地實現了它,而且ssl也被用來提供更好的安全性。
但是,有一件事情關注我,似乎基本身份驗證不會停止,無論用戶未能提供有效的用戶名/密碼crentential多少次。它會繼續問...
我認爲,因爲每次Web服務器接收到證書,它需要通過密碼文件來查找是否存在匹配,它需要一定量的服務器資源。我的問題是,這是不是有惡意用戶遭受DoS攻擊的安全風險?
如果是這樣,我該如何阻止?通過在Apache上添加一些配置/功能?或者只是交換到其他身份驗證方法?摘要鑑定?
非常感謝提前的建議。
感謝您的建議,肯定會去那裏和了解更多。 – 2010-08-21 23:35:51