我使用的自定义ASP.NET成员资格提供程序不支持 MaxInvalidPasswordAttempts 和 PasswordAttemptWindow 设置。我需要使用这个特定的提供程序,我的情况阻止我扩展它的功能。
那就是说,“滚动自己”实施帐户锁定的最佳方法是什么?一些初步想法包括:
- 如果用户超过了无效登录尝试的最大次数,请将其帐户的“ 已批准 ”设置为FALSE。
- 如果用户超过了无效登录尝试的最大次数,请将 个人资料 (即“IsLocked”)中的布尔值设置为true。
此外,在获得PasswordAttemptWindow功能的同时,还有什么建议的方法来跟踪无效尝试的次数?我应该在Session,Cache,DB等中坚持一个计数器吗?