应对恶意请求的一个可选方案

这是在开源中国上随手做的一个回答,突然有人回复,才又看到,是一年前的事情了,早已忘记。不过这个应对方案还是比较有意思的,至少个人感觉,所以转来备忘。毕竟在独立博客里看到的机会比在其它网站大一点,也就是一点而已

http://www.oschina.net/question/110098_89566

原问题是这样的:

分析了#开源中国#安卓客户端源码后,得到了安卓客户端登录接口的地址,试着用自己的账号验证了此接口。 随之发现一个问题:没有验证码之类的验证。然后用错误的信息不断重复刷新页面,并没有提示“请不要重复登录”之类的信息。 请问大侠是如何解决登录接口被暴力破解的问题的? 是在一定时间内对同一个IP请求此接口有限制吗? 还是有另外的高招。目前正在写相关的登录代码,恳请不吝赐教。

当时回复如下:

同ip同用户名(或同密码)连续错误超过阈值,继续响应,但永远返回登录失败,让爆破自己玩儿。同时邮件通知相关用户,提醒改高强度密码

发表评论

电子邮件地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据