显然,某种限制登录尝试的机制是安全必需的.虽然我喜欢尝试之间指数增加的时间概念,但我不确定存储信息.我也对替代解决方案感兴趣,最好不要包括验证码.
我猜测由于阻止cookie或自动清除cookie而无法使用cookie,但是会话会有效吗?或者是否必须存储在数据库中?不知道可以使用什么方法,所以我根本不知道什么是实用的.
我想限制失败的登录尝试.例如,如果特定用户尝试使用错误的用户名或密码登录4次,我应该在第4次显示CAPTCHA而不是在某个特定时间阻止,并且除非他提供有效的用户名和密码,否则将继续显示CAPTCHA.用户成功登录后,登录尝试将重置为ZERO.
从安全的角度来看,是否检查用户名而不是IP地址?这种方法可以在不使用数据库的情况下实现吗?因为我认为我不需要存储时间,因为我只会显示recaptcha?请提出你的意见.