跟踪 ID 锁定的不成功登录尝试

Question

1) 典型的应用程序登录屏幕，超过 3 次尝试后，ID 会因密码错误而被锁定。

2) 尝试不能存储在会话中，因为用户可能在同一台或不同的计算机上使用多个浏览器。

3）我不想将计数保留在数据库中，因为必须在 24 秒左右后重置它。

最好的方法是什么？

Answer 1

您可以连续保存上次正确登录的日期、上次错误登录的日期和错误登录的次数。

如果计数超过 3 并且最后一次错误登录是在过去 X 分钟内，则会自动发生“锁定”。这样您就不必为了比较日期而重置任何内容；）

Answer 2

您可能希望使用 IP 地址来跟踪不正确的登录尝试。

如果您想查看是否有人试图暴力破解密码，请使用 IP。

如果您尝试锁定忘记密码的用户，请通过用户名执行此操作。