Web 应用程序上的访问控制

Question

我正在制作一个具有登录页面（使用 Facelets 和 JSF 2.0）的 Web 应用程序，该页面在重定向到 isLoggedIn 或错误页面之前检查凭据。我可以访问服务器 部署应用程序并使用 Tomcat 作为容器。我想记录明显试图执行暴力攻击的 IP 地址。我现在的想法如下，但我不确定如何获取有问题的IP，即使我可以，它看起来也有点笨拙，那么这样做的标准/好方法是什么？我宁愿不必使用 JSF 的任何其他实现。

• 在登录期间，使用日志框架将日志消息（来自 Bean）写入特定于应用程序的日志消息 Tomcat 日志文件夹中的日志文件，其中保存了失败的登录以及违规 IP 和时间。

• 创建读取日志并检查是否有任何 ip 失败率较高的脚本 尝试。将这些 ip 添加到 hosts.deny。

Answer 1

如果您使用领域身份验证，请检查 Tomcat 的 LockOutRealm。它不会写入 host.deny 文件，但它也可以防止暴力攻击。