Как задержаться / регулируют попытки входа в систему в ASP.NET?
Хорошим способом было бы изучить эти библиотеки, так как они оба с открытым исходным кодом. Итак, прочитайте их код и попытайтесь понять его.
Если вы хотите сделать это самостоятельно, вы должны сначала найти форматы файлов изображений, которые вы хотите загрузить, например, BMP формат файла . Тогда загрузка изображения - это просто чтение двоичных файлов побайтно и правильная интерпретация этих байтов.
5 ответов
Кевин считает, что не хочет связывать ветку вашего запроса. Одним из ответов было бы сделать регистрацию асинхронным запросом . Асинхронный процесс будет просто ждать, сколько времени вы выберете (500 мс?). Тогда вы не заблокируете поток запроса.
I don't think this will help you thwart DOS attacks. If you sleep the request thread, you are still allowing the request to occupy your thread pool and still allow the attacker to bring your web service to its knees.
Your best bet may be to lock out requests after a specified number of failed attempts based on the attempted login name, source IP, etc, to try and target the source of the attack without detriment to your valid users.
Я бы поместил задержку на часть проверки сервера, где он не будет пытаться проверить (возвращаться автоматически, как ложный имеет сообщение, говорящее, что пользователь должен подождать столько-то секунд, прежде чем сделать еще одну попытку). другой ответ, пока не пройдет столько-то секунд. Выполнение команды thread.sleep предотвратит повторную попытку одного браузера, но не остановит распределенную атаку, когда несколько программ одновременно пытаются войти в систему под именем пользователя.
Другая возможность заключается в том, что время между попытками зависит от количества попыток входа. Так, при второй попытке ожидание составляет одну секунду, при третьей - 2, при третьей - 4 и так далее. Таким образом, легитимному пользователю не придется ждать 15 секунд между попытками входа, потому что он неправильно ввел пароль в первый раз.
Я знаю, что это не то, о чем вы просите, но вместо этого вы можете реализовать блокировку учетной записи. Таким образом, вы даете им свои догадки, а затем можете заставить их ждать сколько угодно времени, прежде чем они снова начнут гадать. :)
Я не думаю, что то, о чем вы просите, является достаточно эффективным способом в веб-среде. Цель экранов входа в систему заключается в том, чтобы предоставить «пользователям» легкий доступ к вашим услугам, и они должны быть простыми и быстрыми в использовании. Так что не стоит заставлять пользователя ждать, так как 99% из них не будут злонамеренными.
Sleep.Trhead также потенциально может создать огромную нагрузку на ваш сервер, если будет много одновременных пользователей, пытающихся войти в систему. Возможные варианты:
- Блокировать IP для (например) окончания сеанс для x числа неудачных попыток входа в систему
- Предоставить капчу
, конечно, это не все опции, но все же я уверен, что у большего количества людей будет больше идей ...