Я работаю над аутентификацией и добавляю защиту от грубой силы. Я не знаю, как мне поступить.
Должен ли я просто выполнить плоский блок после 15 неудачных попыток для определенного IP-адреса ... или я должен привязать его к имени пользователя? Должен ли быть порог капчи и абсолютное отсечение?
Есть ли другие шаблоны, которым я должен следовать?