密码和验证码防止暴力破解 - 详解

摘要：

本文介绍了Android商户端APP的防暴力破解机制设计。框架采用Redis缓存实现错误次数统计，针对登录和忘记密码功能分别设置错误次数上限（5次），并采用自然日24点的有效期策略。登录错误时记录并提示剩余尝试次数，超过限制则锁定账户；验证码错误同样计数，超过限制则禁用忘记密码机制。通过Spring Cache注解实现了商户信息的缓存管理，并设计了密码修改成功后解除锁定的机制。整体方案通过前端Redis拦截和后端次数限制相结合，奏效防范了暴力破解攻击，同时提供了清晰的用户提示信息。

背景：

Android版本测试报告中，需要对密码以及输入验证码防止暴力破解。

目的：

采用前端redis缓存进行存储错误次数。后端服务对用户名或密码错误做错误限制。当超出一定次数，对此用户进行锁定。后端忘记密码页面，需对验证码进行校验，当超出一定次数，得对用户进行锁定。

目标：

商户端APP，当用户进入到登录页面。进行登录请求时：

1. 查询用户的登录错误次数，若超出限制进行提示“您已连续输入错误5次用户名密码，您的账户已被锁定，请明天再试”。
2. 若没有超出限制：查询用户是否存在。
3. 若用户存在，查询密码是否正确。
4. 若2，3都满足，对登录错误次数和验证码错误次数进行置空。
5. 若2，3有一项不满足就需记录登录的错误次数。
6. 这样不法用户不断进行登录请求时，请求其实打到了redis服务。

商户端APP，当用户进入忘记密码页面。进行修改密码请求时：

1. 获取验证码的错误次数，若超出限制，则锁定修改密码机制，并进行提示：“您已连续输入错误5次验证码，忘记密码功能今日不可用，请明天再试”。
2. 若没有超出限制：判断验证码是否一致。
3. 若2满足一致，则对登录错误次数和验证码错误次数置空。
4. 若2不满足一致，需要记录验证码的错误次数。
5. 至此当不法用户不断重试验证码，进行修改密码时。redis则进行了拦