我正在使用基于Node.js和express的精简网关/门户网站应用程序。它是管理会话,用户身份验证和路由(到实际应用程序)。
根据https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Session_ID_Guessing_and_Brute_Force_Detection,建议在应用程序检测到给定时间段内多次失败的登录尝试时阻止IP地址。
现在我有两个问题:
1)基础设施的哪个部分应该阻止这些IP地址?这个部门最好的做法是什么?
Node.js应用程序前面安装了一些网络服务器(?)?Node.js应用程序前面的专用代理服务器? 2)如果应该在Node.js应用程序中直接处理,我将如何以最有效的方式(技术上/代码中)阻止IP地址?我想如果我只是在我的普通express请求处理程序中检查这种强制攻击,那么暴力攻击仍然会导致进程加载?
为了澄清,可以通过互联网和内联网(数千名用户)访问该应用程序。