我在考虑在用户在Y时间段内尝试登录X次(并失败)时,实施账户锁定的最佳方法。我应该封锁尝试登录的IP地址并将其保存在我的数据库中吗?还是应该锁定尝试登录的“用户名”?或者实施应该在浏览器中作为一个标识(如cookie、本地/会话存储)来完全阻止请求?期待您的建议。Eliran.
用户名或电子邮箱地址
密码
