限制登录尝试次数

Question

我有一个应用程序，其中有一个登录屏幕。我想在我的应用程序中添加一个限制一次登录尝试次数的功能。例如，如果用户尝试使用错误的user name和/或password进行5次以上的登录，则会弹出一条消息，表示您在接下来的60秒内无法登录。如果他在60秒内尝试，那么他应该无法登录。 60秒后，他应该能够使用正确的密码。

Answer 1

应该像创建一个实例变量int一样简单，并在每次失败登录后增加它，如果它命中5阻止登录尝试并同时触发NSTimer在60秒后擦除计数为0。

Answer 2

保存上一次尝试失败并尝试计数的默认值。

Answer 3

您可以使用NSTimer强制执行时间限制。 在简单情况下，每次登录尝试失败时都会增加计数器。 第6次尝试将标志设置为NO，并启动计时器。 标志为NO时的任何进一步尝试均被拒绝。 定时器启动时，启动标志为YES，用户可以重试。

Answer 4

只是作为一个概念：

start a session for the login process if there is none; 
setting up the timer in that session (startime) if not already set 

loop by post to self: 

    check login; 

    on unsuccessfull login: 

     counting unsuccessfull logins; 
     if timer/counter are hit, instead of presenting the login fields, 
     show an error message; 
     if time of no login is reached, show login fields again, reset counter; 
     return; 

    on successfull login: 

     stop and drop the current session (to get rid of the timer stuff); 
     start the real session; 
     forward to application screen; 

但是： 这不会阻止任何人蛮力迫使你的应用程序，因为这一切都取决于一个会话cookie。通常这些bf攻击不会返回任何cookie，因此他们总是会首次尝试启动新会话。很大的努力，没有影响。依靠IP地址也无济于事，如果你受到bot网络的攻击，你会从每秒100个IP地址获得100个请求。

我会建议有什么像在登录窗口/屏幕

Answer 5

一个CSRF令牌如果登录来自一个服务，这是最好的有处理它。你放入NSUserDefaults的任何东西都可以被读取并可能被修改。