我有一个弹性web应用程序托管在亚马逊上,我面临来自某些自动化机器的登录攻击。从我的日志中,很明显他们正在绕过登录页面,并且正在使用类似于:防止来自curl/http post的登录攻击在春季应用程序
curl --data "j_username=xxx&j_password=yyy" http://www.mysecureurl.com/j_spring_security_check
我的问题是如何防止此类攻击。有没有办法阻止登录页面通过弹簧配置不直接进入的登录?
当用户尝试登录页面时,我会执行进一步的安全措施,如验证码,三错后锁定等。
你可以实现一个Spring AOP来检查你的请求......例如:http://www.mkyong.com/spring/spring-aop-examples-advice/ – Rudy
但是,如何访问httprequest/session中的任何内容这之前的拦截器?我没有线索。 – Supra
在http://stackoverflow.com/questions/3310115/spring-aop-advice-on-annotated-controllers中关注espen答案(示例基于在spring控制器中实现建议)。请注意,该请求必须添加为控制器签名。 – Rudy