如何使用自定义 ASP.NET 会员提供程序实现帐户锁定

Question

我使用的自定义 ASP.NET 成员资格提供程序不支持 MaxInvalidPasswordAttempts 和 PasswordAttemptWindow 设置。我需要使用这个特定的提供程序，但我的情况阻止我扩展它的功能。

也就是说，“自行实施”帐户锁定的最佳方法是什么？一些初步的想法包括：

1. 如果用户超过无效登录尝试的最大次数，请将其帐户的“IsApproved”设置设为 FALSE。
2. 如果用户超过无效登录尝试的最大次数，请将其个人资料中的布尔值（即“IsLocked”）设置为 true。

另外，在实现 PasswordAttemptWindow 功能的同时，跟踪无效尝试次数的推荐方法是什么？我应该在会话、缓存、数据库等中保留一个计数器吗？

Answer 1

您应该像常规提供商一样保留数据库。

此处您可以下载默认会员资格提供商的源代码，这可能会让您了解需要完成的任务。