我们开始在新项目设计中使用Keycloak作为身份和访问管理,并为我新创建的Realm启用了蛮力检测。
它可以正常工作,但是在我的用例中,我必须通知我的用户,由于他们已达到“最大登录失败次数”,因此必须再等待30分钟才能再次尝试登录。但是,每次达到最大失败次数后,只要尝试使用错误/正确的密码,我都会收到“ invalid_grant”错误相同的消息。
{ “错误”:“ invalid_grant”, “ error_description”:“无效的用户凭据” }
如何更改响应消息以通知我的用户?
答案 0 :(得分:0)
您需要使用自定义的Direct Grant Authenticator实现。从这里开始:
default authenticator implementation
但是在开始定制之前,我建议您彻底分析您的需求。回应“帐户已锁定”至少可以为我提供我已经成功猜出用户名的信息,现在我可以继续攻击指定的帐户了。从我的角度来看,最好是异步通知(例如通过电子邮件或SMS)用户有关其帐户可能受到BF攻击的方式。