我正在研究使用keycloak进行身份验证的Web项目。 在决定阻止用户时可以使用帐户IP地址吗? 示例:如果用户身份验证失败5次,我将阻止IP地址。
最诚挚的问候。
答案 0 :(得分:0)
您指的是蛮力攻击。根据{{3}},它们提供了在发生暴力攻击时暂时禁用用户的功能。
此方法的工作方式是,如果在 故障重置时间期间,该帐户暂时被禁用 等待增量乘以失败次数超过最大值。 达到“故障重置时间”后,将清除所有故障。
但是他们提到的一个缺点是服务器变得容易受到拒绝服务攻击。
他们建议使用第三方工具keycloak documentation,该工具可以指向密钥隐藏日志文件,并且可以用于阻止某些IP地址。