首頁猿問 Spring...

Spring 安全無狀態(tài)蠻力保護(hù)以防止憑證猜測

Java

至尊寶的傳說 2021-10-17 10:58:45

在多次嘗試失敗后，我需要忽略來自 ip 地址的身份驗證嘗試，以防止憑證猜測。有多個關(guān)于 Spring Security 蠻力保護(hù)的博客文章。但是我發(fā)現(xiàn)所有這些都建議了內(nèi)存中的解決方案，例如：https://www.baeldung.com/spring-security-block-brute-force-authentication-attempts我工作的應(yīng)用程序是無狀態(tài)的，但需要提供蠻力保護(hù)。什么是實現(xiàn)這一點的合理方法？

查看完整描述

2 回答

守著星空守著你

TA貢獻(xiàn)1799條經(jīng)驗獲得超8個贊

正如您所指出的，文章中描述的方法將登錄嘗試次數(shù)保留在內(nèi)存中。我認(rèn)為您可以（并且應(yīng)該）在無狀態(tài)應(yīng)用程序中這樣做?！盁o狀態(tài)”通常是指不使用服務(wù)器上的 HTTP 會話來跟蹤 HTTP 請求之間的任何用戶狀態(tài)。

如果不使用服務(wù)器上的一些內(nèi)存，就無法跟蹤 HTTP 請求。我不會擔(dān)心這是否符合“無國籍”的定義。

我們正在使用一種非常相似的方法（受到同一篇文章的啟發(fā)）來防止在完全無狀態(tài)的 Spring REST 服務(wù)中進(jìn)行暴力登錄嘗試，并且它對我們來說效果很好。

編輯：我可以想到另一種方法：您可以使用 fail2ban 來解析您的應(yīng)用程序日志并（暫時）在“較低”級別禁止惡意 IP 地址。

反對回復(fù) 2021-10-17

慕斯709654

TA貢獻(xiàn)1840條經(jīng)驗獲得超5個贊

嘗試在應(yīng)用服務(wù)器中實現(xiàn)防火墻功能是一個壞主意。使用您可用的日志記錄工具記錄您看到登錄失敗以及它們來自哪個地址的事實。

然后使用專用防火墻應(yīng)用程序提供的工具來解析您記錄的信息以發(fā)出警報和阻止地址。在 Linux 上，fail2ban 是一個出色的小實用程序，可以查看您的日志并創(chuàng)建 iptables 規(guī)則以將黑客拒之門外。iptables 是 Linux 內(nèi)核防火墻的接口。

反對回復(fù) 2021-10-17