-1
我正在实现一个块登录,所以如果发生很多(10?)登录失败(如有人试图强制密码),帐户无法尝试登录几分钟(即使使用有效的密码) ...如何限制使用redis的登录尝试?
我虽然速率限制使用Redis的图案,并在redis.io他们提供了两种可能的实现:
但是他们给的问题双方,尤其是在并发或丢失命令的情况下。
你推荐什么解决方案?
A
回答
-1
我找到了一个可能的解决方案。这是伪代码:
FUNCTION LIMIT_API_CALL(key):
value = INCR(key)
IF value > 10 THEN
ERROR "too many requests"
ELSE
EXPIRE(key, blockedTime)
PERFORM_API_CALL()
END
这似乎相比redis.io链接实现小幅转移问题,但我认为这是稳健的规定的问题,所以不存在内存泄漏,以及即使其中一个命令失败,TTL也会始终设置。
EDIT(一年后):
这一招已经部署在生产,具有以下除了解决第一个注释检测到的问题:
PERFORM_API_CALL的成功返回删除密钥,重置到期计数器:
FUNCTION LIMIT_API_CALL(key):
value = INCR(key)
IF value > 10 THEN
ERROR "too many requests"
ELSE
IF (PERFORM_API_CALL())
DEL(key)
ELSE
EXPIRE(key, blockedTime)
END
相关问题
- 1. 如何限制登录尝试?
- 2. 限制Openfire登录尝试
- 3. 登录尝试限制
- 4. 限制登录尝试?
- 5. 限制登录尝试,无论用户?
- 6. 限制登录尝试保护BFA的
- 7. 有限的登录尝试
- 8. 如何限制laravel 4用户的登录尝试
- 9. 限制登录尝试次数
- 10. 限制在Laravel 5.4中自定义登录的登录尝试
- 11. 如何限制Spring Security中的登录尝试?
- 12. 尝试使用ModRewrite实现登录限制区域
- 13. 如何在Java webapp中限制登录尝试?
- 14. 如何限制登录尝试 - PHP&MySQL&CodeIgniter
- 15. 限制(并记录)登录尝试的最佳方式
- 16. ASP.NET登录尝试登录?
- 17. ASP.NET限制登录重试
- 18. 如何处理用户登录后的其他登录尝试?
- 19. WordPress的限制登录尝试插件在自定义登录表格
- 20. Guvnor是否限制了不成功的登录尝试次数?
- 21. 限制失败的登录尝试次数
- 22. 使用时间戳限制不正确的登录尝试次数
- 23. 登录尝试的PHP登录脚本
- 24. 我应该限制尝试登录rails吗?
- 25. 在cassandra中跟踪和限制登录尝试失败
- 26. 尝试登录使用PHP和卷曲
- 27. 如何限制用户登录后的登录视图?
- 28. 如何限制用户登录?
- 29. 如何限制用户无需登录
- 30. 如何跟踪在Java中使用HttpSession的登录尝试?
这似乎是一个很好的简单快速的代码。我认为它可能会遇到一些与竞争条件或编码缺陷无关的问题。例如,如果您只想允许“每小时登录10次”,但用户每30分钟只尝试登录一次,在5小时内他们将被拒绝登录尝试另一整小时 - 这种行为更像是“在拒绝服务之前,每小时登录2次“。另一种情况:从第一次登录尝试到第九次,几乎一个小时过去了,但用户仍然只能在整个下一个小时再尝试一次。 – ChisholmKyle
你当然是对的。然而,通过这个非常简单的技巧检测并解决了这个问题:成功登录后,密钥被移除(并且重置失败),因此只有失败才会触发增加的到期计数器。这允许攻击者尝试更多的组合,只要他知道什么时候会成功登录就会发生,但是对于每个到期单元的每次成功登录,他只能将速率提高一倍......这在现实世界中不会发生太多事情。 – Daren