限制（并记录）登录尝试的最佳方法

登录尝试的限制和记录是为了增强系统的安全性，防止恶意攻击者通过暴力破解密码或其他方式获取未经授权的访问权限。以下是出现此问题的原因以及解决方法的总结：

原因：

1. 防止暴力破解：恶意攻击者可能使用暴力破解技术，通过尝试多个用户名和密码的组合来获取访问权限。

2. 防止恶意攻击：攻击者可能尝试使用大量的登录请求来耗尽系统资源或进行其他恶意行为。

3. 提供安全审计记录：根据应用程序的需求，存储登录尝试的记录可以提供安全审计，以便跟踪和分析潜在的安全漏洞。

解决方法：

1. 将登录尝试记录存储到数据库中：将登录尝试记录存储到数据库中是最佳解决方案之一，因为它提供了安全漏洞尝试的审计记录。这也是法律要求的必要措施，具体取决于应用程序的需求。

2. 收集高级信息：通过记录所有的失败尝试，可以收集更高级别的信息，例如请求是否来自同一个IP地址（即某人/某物正在进行暴力破解攻击），从而可以封锁该IP地址。这些信息对于提高安全性非常有用。

3. 设定阈值并采取相应措施：一旦确定了登录尝试的阈值，可以通过要求用户发送电子邮件到其电子邮件地址（类似于“我忘记了我的密码”）或使用CAPTCHA验证等方式来进一步限制登录尝试。

以上是限制（并记录）登录尝试的最佳方法的原因和解决方法的总结。通过采取这些措施，可以大大提高系统的安全性，减少恶意攻击的风险。

最好的方法是限制（并记录）登录尝试次数的原因是为了防止恶意登录和保护用户账户的安全。在没有限制登录尝试次数的情况下，攻击者可以使用暴力破解等方法来获取用户的登录凭证。

为了解决这个问题，可以使用以下方法之一：

1. 使用验证码：验证码是一种通过要求用户输入图像或字符来确认其身份的方法。这种方法可以有效地防止恶意登录尝试。用户在登录时需要输入正确的验证码才能成功登录。

2. 增加登录尝试的时间间隔：如果用户在短时间内多次登录失败，可以增加登录尝试的时间间隔。这样做可以防止暴力破解等攻击。

3. 记录登录尝试次数：记录登录尝试次数可以帮助管理员检测和追踪潜在的恶意登录行为。如果某个账户的登录尝试次数超过一定阈值，可以采取进一步的安全措施，如锁定账户或发送警报。

限制和记录登录尝试次数是为了防止恶意登录和保护用户账户的安全。使用验证码、增加登录尝试的时间间隔和记录登录尝试次数是解决这个问题的有效方法。通过这些措施，可以提高系统的安全性，并保护用户的个人信息和登录凭证。

在用户表中添加'failed_login_attempts'和'failed_login_time'两个列。第一个列在每次登录失败时递增，成功登录后重置为零。第二个列允许将当前时间与上次登录失败的时间进行比较。

您的代码可以使用数据库中的这些数据来确定锁定用户的等待时间，允许登录之间的时间等等。

此外，我发现，您还应该为无效的用户名存储登录失败尝试。如果您只锁定有效用户名的登录失败尝试，那么您将透露哪些用户名是有效的，这是不可取的。

我喜欢基于两个条件存储失败的尝试：如果使用了有效的用户名，则为用户名和IP计算一个失败，否则只为IP计算一个失败。如果特定账户受到攻击，它将独立于特定IP而被锁定，而任何单个滥用的IP将在此过程中被整个站点锁定。此外，存储锁定的明确过期时间并在每次尝试时更新锁定过期时间也很重要。

如果系统向用户显示登录延迟（在失败后强制等待），是否会存在漏洞？我认为其他人无论如何只应该看到"此信息不匹配"。

如果需要阻止IP，则需要为IP创建另一个表格。