那些遇到过的问题

Symfony2:登录尝试失败后获取"用户名"

Ser*_*gri 2 brute-force symfony fosuserbundle

我使用Symfony2和FOSUserBundle.

我想防止登录页面上的暴力攻击.

为此我在事件上创建了一个监听器:

AuthenticationEvents::AUTHENTICATION_FAILURE
Run Code Online (Sandbox Code Playgroud)

除了IP,我还想获得用户在尝试登录时传递的"用户名".通过这种方式,我可以获得一些黑客试图入侵该帐户的用户.同时考虑到同一个IP可以属于多个用户,我可以通过这种方式进行区分,如果我在一秒钟内获得5次尝试,如果我真的面临攻击,或者只是有5个用户大致同时无法进行身份验证(但也许是"背后"那个地址有150个用户,所以它可以发生;)).

有什么方法可以获得表单中传递的用户名吗?

当然,在记录IP,用户名和时间戳之后,我需要实现将可疑IP添加到黑名单表的部分.然后,我将决定是否实施选民,或禁止IP我的应用程序编写Apache配置文件.

谢谢!

Ser*_*gri 7

我惊讶地发现解决方案在我正在做的事情上挖掘了一些类.

我只需要这样做:

public function onAuthenticationFailure( AuthenticationFailureEvent $event )
{
   $token = $event->getAuthenticationToken(); 
   $username = $token->getUsername(); 
   // DO STUFF ON DB
}
Run Code Online (Sandbox Code Playgroud)

编辑:我的听众的完整代码

class LoginListener implements EventSubscriberInterface
{
protected $entityManager;
protected $container;
protected $logger;

public function __construct($entityManager, $container, $logger)
{
    $this->em = $entityManager;        
    $this->container = $container;        
    $this->logger = $logger;
}
public static function getSubscribedEvents()
{
    return array(
        FOSUserEvents::SECURITY_IMPLICIT_LOGIN => 'onImplicitLogin',
        SecurityEvents::INTERACTIVE_LOGIN => 'onSecurityInteractiveLogin',
        AuthenticationEvents::AUTHENTICATION_FAILURE => 'onAuthenticationFailure',
    );
}
public function onImplicitLogin(UserEvent $event)
{
    // LOG THE SUCCESSFUL LOGIN
    $user = $event->getUser();
    $this->writeSuccessfulLog($user); 

}
public function onSecurityInteractiveLogin(InteractiveLoginEvent $event)
{
    // LOG THE SUCCESSFUL LOGIN
   $user = $event->getAuthenticationToken()->getUser(); // the difference with the one above is        $user = $event->getUser();
   $this->writeSuccessfulLog($user);
}

public function onAuthenticationFailure( AuthenticationFailureEvent $event )
{
    // LOG THE FAILED LOGIN
    $token = $event->getAuthenticationToken(); 
    $username = $token->getUsername();  
    $container = $this->container;
    $em = $this->em;
    $request = $container->get('request');
    $ip = $request->getClientIp();
    $userAgent = $request->headers->get('User-Agent');
    $now = new \DateTime();

    $failedLogin = new FailedLogin();
    $failedLogin->setIp($ip);
    $failedLogin->setTimestamp($now);
    $failedLogin->setUsername($username);
    $failedLogin->setUserAgent($userAgent);
    $em->persist($failedLogin);
    $em->flush();
}
Run Code Online (Sandbox Code Playgroud)

writeSuccessfulLog方法只需登录DB

归档时间:

查看次数:

970 次

最近记录:

9 年,12 月 前
相关归档
如何删除树枝中文本的空格? 21
Symfony2和Doctrine2:使用两个实体填充表单(一个复杂的场景) 9
Symfony2命令"doctrine:schema:update"不检测实体中使用的特征文件更改 9
使用html5和CANCEL按钮进行Symfony2表单验证 7
Symfony2在实体存储库中获取用户标识 6
试图从命名空间“DoctrineExtensions\Query\Mysql”加载类“Month”。您是否忘记了另一个命名空间的“use”语句 6
Symfony liipimaginebundle:将请求上下文方案设置为 https 5
Symfony 4打印所有路线 4
SonataAdmin自定义表单动作 2
如何识别 Symfony2 / Twig 中的隐藏表单字段 1
难疑归档
如何使用保存实例状态保存Android Activity状态? 2538
使用jQuery从下拉列表(选择框)中获取所选文本 2240
如何从文件内容创建Java字符串? 1440
表命名困境:奇异与多个名称 1404
如何为项目中的单个文件禁用ARC? 1332
为PHP密码保护哈希和盐 1142
创建将T限制为枚举的通用方法 1122
如何刷新打印功能的输出? 1111
Visual Studio中的构建解决方案,重建解决方案和清洁解决方案之间的区别? 1081
如何将命令行参数传递给rake任务 1065