Spring安全:暴力攻撃防止
Spring Securityはたくさんのことをしてくれます。
口座は閉鎖されています。パスワードは塩です。しかし、蛮力遮断剤は?
それはあなたが自分でしなければならないことです。
幸い、Springは非常にフレキシブルなフレームなので、配置に大きな問題はありません。
この操作をGrairsアプリケーションに対してどのように実行するかのマニュアルを見せます。
まず、config.groovyでspring SecurityEventListenerを有効にしてください。
Grairsユーザはこのプラグインを簡単に使用できます。https://github.com/grygoriy/bruteforcedefender
プログラムを楽しく作ってください。共有を忘れないでください。
参考:Grygoriy MykhalyunoブログのJCGパートナーGrygoriy MykhalyunoはSpring Securityを使って暴力攻撃を防止します。
翻訳元:https://www.javacodegeeks.com/2012/10/spring-security-prevent-brute-force.html
口座は閉鎖されています。パスワードは塩です。しかし、蛮力遮断剤は?
それはあなたが自分でしなければならないことです。
幸い、Springは非常にフレキシブルなフレームなので、配置に大きな問題はありません。
この操作をGrairsアプリケーションに対してどのように実行するかのマニュアルを見せます。
まず、config.groovyでspring SecurityEventListenerを有効にしてください。
grails.plugins.springsecurity.useSecurityEventListener = true/**
Registers all failed attempts to login. Main purpose to count attempts for particular account ant block user
*/
class AuthenticationFailureListener implements ApplicationListener {
LoginAttemptCacheService loginAttemptCacheService
@Override
void onApplicationEvent(AuthenticationFailureBadCredentialsEvent e) {
loginAttemptCacheService.failLogin(e.authentication.name)
}
}/**
Listener for successfull logins. Used for reseting number on unsuccessfull logins for specific account
*/
class AuthenticationSuccessEventListener implements ApplicationListener{
LoginAttemptCacheService loginAttemptCacheService
@Override
void onApplicationEvent(AuthenticationSuccessEvent e) {
loginAttemptCacheService.loginSuccess(e.authentication.name)
}
}beans = {
authenticationFailureListener(AuthenticationFailureListener) {
loginAttemptCacheService = ref('loginAttemptCacheService')
}
authenticationSuccessEventListener(AuthenticationSuccessEventListener) {
loginAttemptCacheService = ref('loginAttemptCacheService')
}
}package com.picsel.officeanywhere
import com.google.common.cache.CacheBuilder
import com.google.common.cache.CacheLoader
import com.google.common.cache.LoadingCache
import java.util.concurrent.TimeUnit
import org.apache.commons.lang.math.NumberUtils
import javax.annotation.PostConstruct
class LoginAttemptCacheService {
private LoadingCache
attempts;
private int allowedNumberOfAttempts
def grailsApplication
@PostConstruct
void init() {
allowedNumberOfAttempts = grailsApplication.config.brutforce.loginAttempts.allowedNumberOfAttempts
int time = grailsApplication.config.brutforce.loginAttempts.time
log.info 'account block configured for $time minutes'
attempts = CacheBuilder.newBuilder()
.expireAfterWrite(time, TimeUnit.MINUTES)
.build({0} as CacheLoader);
}
/**
* Triggers on each unsuccessful login attempt and increases number of attempts in local accumulator
* @param login - username which is trying to login
* @return
*/
def failLogin(String login) {
def numberOfAttempts = attempts.get(login)
log.debug 'fail login $login previous number for attempts $numberOfAttempts'
numberOfAttempts++
if (numberOfAttempts > allowedNumberOfAttempts) {
blockUser(login)
attempts.invalidate(login)
} else {
attempts.put(login, numberOfAttempts)
}
}
/**
* Triggers on each successful login attempt and resets number of attempts in local accumulator
* @param login - username which is login
*/
def loginSuccess(String login) {
log.debug 'successfull login for $login'
attempts.invalidate(login)
}
/**
* Disable user account so it would not able to login
* @param login - username that has to be disabled
*/
private void blockUser(String login) {
log.debug 'blocking user: $login'
def user = User.findByUsername(login)
if (user) {
user.accountLocked = true;
user.save(flush: true)
}
}
}dependencies {
runtime 'com.google.guava:guava:11.0.1'
}brutforce {
loginAttempts {
time = 5
allowedNumberOfAttempts = 3
}Grairsユーザはこのプラグインを簡単に使用できます。https://github.com/grygoriy/bruteforcedefender
プログラムを楽しく作ってください。共有を忘れないでください。
参考:Grygoriy MykhalyunoブログのJCGパートナーGrygoriy MykhalyunoはSpring Securityを使って暴力攻撃を防止します。
翻訳元:https://www.javacodegeeks.com/2012/10/spring-security-prevent-brute-force.html