2016-08-03

[ASP.NET Identity] OAuth Server 鎖定(Lockout)登入失敗次數太多的帳號

這個功能看似很簡單,但我一直無法成功鎖定帳號,追根究柢就是不了解運作方式,以下就來分享實作心得

Lockout 相關成員

欄位

帳號失敗次數鎖定,在 AspNetUsers Table 用三個欄位控制

  • LockedEnable:是否啟用鎖定
  • AccessFailedCount:失敗次數
  • LockoutEndDateUtc:鎖定到期時間

行為

  • ApplicationUserManager.SetLockoutEnabledAsync(user.Id) 方法,控制 LockedEnable 欄位= true | false
  • ApplicationUserManager.AccessFailedAsync(user.Id) 方法,控制 LockoutEndDateUtc 和 AccessFailedCount 欄位。
當調用一次 AccessFailedAsync(),AccessFailedCount 累加一,超過定義次數,AccessFailedCount 歸零,寫入 LockoutEndDateUtc 時間
  • ApplicationUserManager.SetLockoutEndDateAsync() 方法,控制結束鎖定時間
  • ApplicationUserManager.IsLockedOutAsync(user.Id) ,以 LockoutEndDateUtc 和 LockedEnable 欄位決定是否為 Lockout

另外,ApplicationSignInManager 也能處理 Lockout

  • ApplicationSignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true),

屬性

還有三個屬性,可以定義,分別是:

  • ApplicationUserManager.DefaultAccountLockoutTimeSpan 屬性,鎖定時間
  • ApplicationUserManager.MaxFailedAccessAttemptsBeforeLockout 屬性,最多失敗次數
  • ApplicationUserManager.UserLockoutEnabledByDefault 屬性,建立帳號時是否啟用鎖定

Step1.定義 Lockout 屬性

@Startup.cs

把控制 Lockout 的屬性放在 Startup.CreateUserManager 方法集中建立

@AppSetting.cs

這個類別,提供讀取 Web.Config 的屬性並 Cache 起來,以免一個 Request 請求就讀一次檔案

public class AppSetting

{

	private static TimeSpan? s_defaultAccountLockoutTimeSpan;

	private static int? s_maxFailedAccessAttemptsBeforeLockout;

	private static bool? s_userLockoutEnabledByDefault;

	public static TimeSpan DefaultAccountLockoutTimeSpan

	{

		get

		{

			if (!s_defaultAccountLockoutTimeSpan.HasValue)

			{

				double result;

				if (double.TryParse(ConfigurationManager.AppSettings["DefaultAccountLockoutTimeSpan"], out result))

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(result);

				}

				else

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(20);

				}

			}

			return s_defaultAccountLockoutTimeSpan.Value;

		}

		set { s_defaultAccountLockoutTimeSpan = value; }

	}

	public static int MaxFailedAccessAttemptsBeforeLockout

	{

		get

		{

			if (!s_maxFailedAccessAttemptsBeforeLockout.HasValue)

			{

				int result;

				if (int.TryParse(ConfigurationManager.AppSettings["MaxFailedAccessAttemptsBeforeLockout"],

								 out result))

				{

					s_maxFailedAccessAttemptsBeforeLockout = result;

				}

				else

				{

					s_maxFailedAccessAttemptsBeforeLockout = 5;

				}

				s_maxFailedAccessAttemptsBeforeLockout = result;

			}

			return s_maxFailedAccessAttemptsBeforeLockout.Value;

		}

		set { s_maxFailedAccessAttemptsBeforeLockout = value; }

	}

	public static bool UserLockoutEnabledByDefault

	{

		get

		{

			if (!s_userLockoutEnabledByDefault.HasValue)

			{

				bool result;

				if (bool.TryParse(ConfigurationManager.AppSettings["UserLockoutEnabledByDefault"], out result))

				{

					s_userLockoutEnabledByDefault = result;

				}

				else

				{

					s_userLockoutEnabledByDefault = true;

				}

				s_userLockoutEnabledByDefault = result;

			}

			return s_userLockoutEnabledByDefault.Value;

		}

		set { s_userLockoutEnabledByDefault = value; }

	}

}

Step2.撰寫鎖定邏輯

@AuthorizationServerProvider.cs

在取得 Token 的 GrantResourceOwnerCredentials 方法裡面,控制帳號鎖定邏輯

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

{

    var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

    var user = await userManager.FindByNameAsync(context.UserName);

    if (user == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    var validCredentials = await userManager.FindAsync(context.UserName, context.Password);

    var enableLockout = await userManager.GetLockoutEnabledAsync(user.Id);

    if (await userManager.IsLockedOutAsync(user.Id))

    {

        var message = string.Format(

            "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

            AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        ;

        context.SetError("invalid_grant", message);

        return;

    }

    if (enableLockout & validCredentials == null)

    {

        string message;

        await userManager.AccessFailedAsync(user.Id);

        if (await userManager.IsLockedOutAsync(user.Id))

        {

            message =

                string.Format(

                    "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

                    AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        }

        else

        {

            var accessFailedCount = await userManager.GetAccessFailedCountAsync(user.Id);

            var attemptsLeft = AppSetting.MaxFailedAccessAttemptsBeforeLockout -

                               accessFailedCount;

            message =

                string.Format(

                    "Invalid credentials. You have {0} more attempt(s) before your account gets locked out.",

                    attemptsLeft);

        }

        context.SetError("invalid_grant", message);

        return;

    }

    if (validCredentials == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    await userManager.ResetAccessFailedCountAsync(user.Id);

    var oAuthIdentity = await userManager.CreateIdentityAsync(user, OAuthDefaults.AuthenticationType);

    var properties = CreateProperties(user.UserName);

    var oAuthTicket = new AuthenticationTicket(oAuthIdentity, properties);

    context.Validated(oAuthTicket);

}

Step3.撰寫測試程式碼

可以在測試程式碼裡直接注入 Lockout 屬性

[ClassInitialize]

public static void Initialize(TestContext testContext)

{

    Database.SetInitializer(new DropCreateDatabaseIfModelChanges<ApplicationDbContext>());

    AppSetting.UserLockoutEnabledByDefault = true;

    AppSetting.DefaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(5);

    AppSetting.MaxFailedAccessAttemptsBeforeLockout = 3;

}

在測試程式碼,我模擬登入失敗超過三次

[TestMethod]

public async Task Login_Fail_3_Lockout_3Test()

{

    await RegisterAsync();

    Password = "Pass@w0rd2~";

    var token1 = await LoginAsync();

    token1.ErrorDescription.Should()

          .Be("Invalid credentials. You have 2 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token2 = await LoginAsync();

    token2.ErrorDescription.Should()

          .Be("Invalid credentials. You have 1 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token3 = await LoginAsync();

    token3.ErrorDescription.Should()

          .Be("Your account has been locked out for 5 minutes due to multiple failed login attempts.");

}
假如你一直無法在 Production 裡面正確的使用 Lockout 請查看資料庫確認該帳號的 LockoutEnabled 有被打開。
 
原文:
https://dotblogs.com.tw/yc421206/2016/08/03/asp_net_identity_oauth_user_lockout

MVc Identity登陆锁定的更多相关文章

  1. Python作业之三次登陆锁定用户

    作业之三次登陆锁定用户 作业要求如下: 1. 输入用户名和密码 2. 认证成功提示欢迎信息 3. 认证失败三次锁定用户 具体代码如下: 方法1: import os#导入os模块 if os.path ...

  2. ASP.NET MVC Identity 兩個多個連接字符串問題解決一例

    按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由于還要加自己已有的數據庫,所以建立了一個實體模型,建立了之后,發現登錄不了: 一直顯示“Login in failed for ...

  3. MVC绕过登陆界面验证时HttpContext.Current.User.Identity.Name取值为空问题解决方法

    Global.asax界面添加如下方法: void FormsAuthentication_Authenticate(object sender, FormsAuthenticationEventAr ...

  4. MVC SSO登陆 的麻烦事~

    前段时间用MVC + Redis 做session搞了个简单的单点登录Web站.真是日了狗的问题多. 今天正好睡不着,做个备忘笔记>_< 实现方法很简单,无非就是从重载个Controlle ...

  5. MVC用户登陆验证及权限检查(Form认证)

    1.配置Web.conf,使用Form认证方式   <system.web>     <authentication mode="None" />      ...

  6. MVC基本登陆与验证码功能实现

    一.基本登陆实现与验证码功能实现,该功能是和spring.net功能集合使用的,因为后面要用到验证是否处于登陆状态 1. 先构建一个登陆页面 @{ Layout = null; } <!DOCT ...

  7. .NET MVC中登陆授权过滤器的使用

    1.写个类LoginAuthorityAttribute,继承自AuthorizeAttribute using System; using System.Collections.Generic; u ...

  8. [Python3.x]多次登陆锁定用户

    要求:输入用户名,密码认证成功显示欢迎信息输入错误三次后锁定用户Readme: 1.account.txt是存放用户id及密码的文件 2.account_loc.txt是存放被锁定的用户id的文档,默 ...

  9. ASP.NET MVC Identity 添加角色

    using Microsoft.AspNet.Identity; public ActionResult AddRole(String name){ using (var roleManager = ...

随机推荐

  1. jenkins系列_使用scp命令进行远程文件复制遇到的坑

    转自:https://blog.csdn.net/kingboyworld/article/details/78905553 一.场景介绍 项目为微服务项目,使用jenkins进行统一部署.基本思路是 ...

  2. 1005 继续(3n+1)猜想 (25 分)

    1005 继续(3n+1)猜想 (25)(25 分) - 过期汽水的博客 - CSDN博客https://blog.csdn.net/qq_40167974/article/details/80739 ...

  3. window 服务

    c#写windows服务   序言 前段时间做一个数据迁移项目,刚开始用B/S架构做的项目,但B/S要寄存在IIs中,而IIs又不稳定因素,如果重启IIs就要打开页面才能运行项目.有不便之处,就改用W ...

  4. Android构建项目时出现的小bug们(2018年5月19日19:31:20)

    问题详情 Error:Execution failed for task ':app:preDebugAndroidTestBuild'. > Conflict with dependency ...

  5. SQLServer 的数据分页:

    假设现在有这样的一张表:CREATE TABLE test( id int primary key not null identity, names varchar(20))然后向里面插入大约1000 ...

  6. django使用restframework实现安全的api

    参考地址:https://github.com/tomchristie/django-rest-framework/ 一般如果在批量修改多的时候,不建议使用,一般在get请求,或者修改单条数据的时候使 ...

  7. Html - Table 表头固定和 tbody 设置 height 在IE不起作用的解决

    原文地址,转载请注明出处:http://www.cnblogs.com/jying/p/6294063.html 做项目的时候发现给 tbody设置 height 和 overflow-y 在IE下不 ...

  8. 网络层——IP报文头介绍

    IP数据包也叫IP报文分组,传输在ISO网络7层结构中的网络层,它由IP报文头和IP报文用户数据组成,IP报文头的长度一般在20到60个字节之间,而一个IP分组的最大长度则不能超过65535个字节.  ...

  9. centos7.x修改网卡名字

    1.编辑/etc/default/grub 加入如下代码 net.ifnames=0 biosdevname=0 2. 在执行以下 grub2-mkconfig  -o /boot/grub2/gru ...

  10. python小数据池概念以及具体范围

    =   赋值符号:        ==  比较值是否相等:   is  比较,比较的是内存地址      ID(内容) 数字,字符串的小数据池 小数据池现象产生的原因,作用: 为了节省内存空间. &l ...