登录接口防攻击 01

 

如何防止登录接口被攻击呢?

技术架构是这样的(不能暴露公司机密,所以下面接口比较简陋):

网页调用登录接口A,登录接口A 实际上是调用接口B进行业务逻辑.

所以真正干活的是接口B,接口A 只是进行了转发和包装.

如果要攻击,只能攻击接口A,因为接口B没有暴露,也不公开.

那么如何防止接口A 被攻击呢?

比如不断的访问接口A,每秒钟访问10次? 这样很容易导致服务器扛不住宕机.

比如访问地址是 http://123.21.23.2/user/login?username=whuang&password=zxcvbnm

(1)用户名相同的情况

规则:

(a)连续三次登录失败,则增加图形验证码

例如

 (b)连续6次失败(包括无图形验证码的情况),则无法马上登录,必须等待5分钟

5分钟之后,就可登录,并且没有验证码,然后重复规则(a)

(c)如果连续登录失败24次,则禁止登录,并且提示联系客服.

 

分析:

规则(b)为什么要增加图形验证码,是为了防止程序自动化攻击.要求输入图形验证码,就能够保证执行登录操作的是人(不考虑程序能够读取验证码的情况,若哪位大侠有这种程序,请发给我)

规则(c),连续登录失败24次,就可以当做是程序自动化攻击了,所以直接禁止登录,但是也可能是未知的原因(比如手机app本身的bug登录失败就不断尝试登录)导致真正用户登录失败,所以提示联系客服.

 

我qq邮箱:1287789687@qq.com

 

 

评论

1 楼 tandy_000 2015-06-01  

Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能：
认证 - 用户身份识别，常被称为用户“登录”；
授权 - 访问控制；
密码加密 - 保护或隐藏数据防止被偷窥；
会话管理 - 每用户相关的时间敏感的状态。