如何防止暴力破解重试密码
如何防止暴力破解重试密码
提问于 2015-09-18 08:13:47
我通过电子邮件向用户发送一个私人链接,
= link_to user_profile_url(user_token: @user.token, user_id: @user.uid), method: :post避免让用户从移动邮件应用程序再次登录。如果请求有user_token, user_id参数,我会让用户登录。
因为我现在的方法可以在很短的时间内被强行尝试。
避免暴力攻击的最佳实践是什么,谢谢
def get_user_by_token(user_id=nil ,token=nil)
if user_id and token
User.where({id: user_id, token: token}).first
else
nil
end
end回答 1
Stack Overflow用户
发布于 2015-09-18 16:50:15
实际上,您有两个互补的选项:
- 使令牌变得足够复杂,需要相当大的计算工作量。您可以使用不仅包括字母和数字,还包括其他chars.
- Throttle操作的
SecureRandom.hex甚至SecureRandom.urlsafe_base64。跟踪对该特定操作的超文本传输协议请求,如果每分钟的请求数高于5,则按IP阻止用户。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/32641921
复制相关文章
相似问题
腾讯云开发者
