2回答

守着星空守着你

正如您所指出的，文章中描述的方法将登录尝试次数保留在内存中。我认为您可以（并且应该）在无状态应用程序中这样做。“无状态”通常是指不使用服务器上的 HTTP 会话来跟踪 HTTP 请求之间的任何用户状态。如果不使用服务器上的一些内存，就无法跟踪 HTTP 请求。我不会担心这是否符合“无国籍”的定义。我们正在使用一种非常相似的方法（受到同一篇文章的启发）来防止在完全无状态的 Spring REST 服务中进行暴力登录尝试，并且它对我们来说效果很好。编辑：我可以想到另一种方法：您可以使用 fail2ban 来解析您的应用程序日志并（暂时）在“较低”级别禁止恶意 IP 地址。

0 0

0

慕斯709654

尝试在应用服务器中实现防火墙功能是一个坏主意。使用您可用的日志记录工具记录您看到登录失败以及它们来自哪个地址的事实。然后使用专用防火墙应用程序提供的工具来解析您记录的信息以发出警报和阻止地址。在 Linux 上，fail2ban 是一个出色的小实用程序，可以查看您的日志并创建 iptables 规则以将黑客拒之门外。iptables 是 Linux 内核防火墙的接口。

0 0

0