Показывать капчу после трех неудачных попыток пользователя

Question

Я работаю над приложением, где в некоторых местах мне нужно ввести капчу, если N попыток не удалось. Этими местами могут быть регистрация, вход в систему, добавление в список желаний, подписка и т. Д. Это также гарантирует, что атака типа «отказ в обслуживании» и атака «грубой силой» не может быть предпринята никем. Есть ли механизм для этого в Spring Security?

Answer 1

В Spring Security нет ничего напрямую, но должно быть легко сохранить количество входов в систему в сеансе пользователей и проверить, что счетчик в JSP для отображения CAPTCHA необходим.

Answer 2

Реализация AuthenticationFailureHandler, который обновляет счет / время в БД. Вы не можете рассчитывать на использование сеанса, поскольку злоумышленник все равно не будет отправлять файлы cookie.

Answer 3

Реализация выполнена с использованием JCaptcha и SpringMVC

http://parasjain.net/2008/11/11/jcaptcha-with-spring/

Answer 4

Если вы используете reCAPTCHA с Spring Security, это полезно http://krams915.blogspot.com/2011/02/spring-security-3-integrating-recaptcha.html