Spring Security 2.0.3和字典攻擊

Question

我運行的是Spring Security 2.0.3，我需要實現一個簡單的字典攻擊塊，植入過程非常簡單，添加了userstatus的屬性和當他有X次錯誤登錄時分配了值時所分配的blocked值自上次登錄以來的嘗試。 問題是如何通過Spring Security重定向到適當的頁面甚至更好的頁面
重定向到login.jsp並通過一些會話標記阻止輸入（這只是JS阻止，但我仍然需要它），Spring Security的UserDetailService接口定義了loadByUserName方法，該方法使我能夠拋出自己的BadCredentialsException擴展，但ExceptionTranslationFilter不會不要讓我利用它，有沒有內置的方法可以在春季完成，還是我必須破解一些東西？ 謝謝

Answer 1

我將看一下文檔的 2.3.5節。 我執行此操作的方法是實施Pre-auth過濾器或“ Authentication Processing過濾器，以實施針對蠻力風格攻擊的檢查。 您可能會想要創建一個過濾器，在大多數情況下，它只是委托給原始過濾器類，除了檢查用戶是否發出過多請求等。或者，您也可以覆蓋所有功能，而不必委托給原始過濾器。

Answer 2

實現AuthenticationFailureHandler來更新數據庫中的count / blocked標志並進行重定向。 我不會指望使用該會話，因為攻擊者無論如何都不會發送cookie。