密钥泄漏：用户的临时和永久锁定

Question

我需要以idp的形式在keycloak中实现以下流程：

1. 用户有3次失败登录
2. 用户应暂时锁定5分钟
3. 用户再次有3次失败登录
4. 应该再次将用户暂时锁定5分钟
5. 用户再次有3次失败登录
6. 用户应被永久锁定
7. 用户应该收到一封他被永久锁定的电子邮件。

我在Keycloak中的“身份验证”下看到了蛮力检测。但是我的情况同时解决了临时锁定和永久锁定。

您是否有解决此要求的可行方法？

Answer 1

Keycloack框中只有BruteForceProtector的一种实现：DefaultBruteForceProtector

您可以implement your own provider：

  

Keycloak旨在涵盖大多数用例，而无需自定义代码，但我们也希望它是可自定义的。为此，Keycloak具有许多服务提供商接口（SPI），您可以为其实现自己的提供商。