在X登录尝试失败后,Grails的Spring Security插件是否支持自动锁定帐户? “帐户锁定”的文档部分仅提到存在accountLocked属性。
如果没有开箱即用,那么实施它的最佳方法是什么?
答案 0 :(得分:4)
不,它不会为你处理它。您需要跟踪登录尝试,然后自己锁定它。文档尽可能多地说here。
您可以使用此功能手动锁定用户的帐户或 使密码到期,但您可以自动执行该过程。例如, 使用Quartz插件定期使每个人的密码失效 强迫他们去他们更新它的页面。跟踪 用户更改密码并使用Quartz作业到期的日期 密码超过固定的最大年龄时的密码。
我会使用插件的Event功能并实现我自己的AuthenticationFailureEvent。跟踪用户的登录尝试,并在第3次尝试时,翻转锁定位。您可能还想实现自己的AuthenticationSuccessEvent,以便在第3次尝试之前获得它时可以重置该位。