2016-08-03

[ASP.NET Identity] OAuth Server 鎖定(Lockout)登入失敗次數太多的帳號

這個功能看似很簡單,但我一直無法成功鎖定帳號,追根究柢就是不了解運作方式,以下就來分享實作心得

Lockout 相關成員

欄位

帳號失敗次數鎖定,在 AspNetUsers Table 用三個欄位控制

  • LockedEnable:是否啟用鎖定
  • AccessFailedCount:失敗次數
  • LockoutEndDateUtc:鎖定到期時間

行為

  • ApplicationUserManager.SetLockoutEnabledAsync(user.Id) 方法,控制 LockedEnable 欄位= true | false
  • ApplicationUserManager.AccessFailedAsync(user.Id) 方法,控制 LockoutEndDateUtc 和 AccessFailedCount 欄位。
當調用一次 AccessFailedAsync(),AccessFailedCount 累加一,超過定義次數,AccessFailedCount 歸零,寫入 LockoutEndDateUtc 時間
  • ApplicationUserManager.SetLockoutEndDateAsync() 方法,控制結束鎖定時間
  • ApplicationUserManager.IsLockedOutAsync(user.Id) ,以 LockoutEndDateUtc 和 LockedEnable 欄位決定是否為 Lockout

另外,ApplicationSignInManager 也能處理 Lockout

  • ApplicationSignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true),

屬性

還有三個屬性,可以定義,分別是:

  • ApplicationUserManager.DefaultAccountLockoutTimeSpan 屬性,鎖定時間
  • ApplicationUserManager.MaxFailedAccessAttemptsBeforeLockout 屬性,最多失敗次數
  • ApplicationUserManager.UserLockoutEnabledByDefault 屬性,建立帳號時是否啟用鎖定

Step1.定義 Lockout 屬性

@Startup.cs

把控制 Lockout 的屬性放在 Startup.CreateUserManager 方法集中建立

@AppSetting.cs

這個類別,提供讀取 Web.Config 的屬性並 Cache 起來,以免一個 Request 請求就讀一次檔案

public class AppSetting

{

	private static TimeSpan? s_defaultAccountLockoutTimeSpan;

	private static int? s_maxFailedAccessAttemptsBeforeLockout;

	private static bool? s_userLockoutEnabledByDefault;

	public static TimeSpan DefaultAccountLockoutTimeSpan

	{

		get

		{

			if (!s_defaultAccountLockoutTimeSpan.HasValue)

			{

				double result;

				if (double.TryParse(ConfigurationManager.AppSettings["DefaultAccountLockoutTimeSpan"], out result))

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(result);

				}

				else

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(20);

				}

			}

			return s_defaultAccountLockoutTimeSpan.Value;

		}

		set { s_defaultAccountLockoutTimeSpan = value; }

	}

	public static int MaxFailedAccessAttemptsBeforeLockout

	{

		get

		{

			if (!s_maxFailedAccessAttemptsBeforeLockout.HasValue)

			{

				int result;

				if (int.TryParse(ConfigurationManager.AppSettings["MaxFailedAccessAttemptsBeforeLockout"],

								 out result))

				{

					s_maxFailedAccessAttemptsBeforeLockout = result;

				}

				else

				{

					s_maxFailedAccessAttemptsBeforeLockout = 5;

				}

				s_maxFailedAccessAttemptsBeforeLockout = result;

			}

			return s_maxFailedAccessAttemptsBeforeLockout.Value;

		}

		set { s_maxFailedAccessAttemptsBeforeLockout = value; }

	}

	public static bool UserLockoutEnabledByDefault

	{

		get

		{

			if (!s_userLockoutEnabledByDefault.HasValue)

			{

				bool result;

				if (bool.TryParse(ConfigurationManager.AppSettings["UserLockoutEnabledByDefault"], out result))

				{

					s_userLockoutEnabledByDefault = result;

				}

				else

				{

					s_userLockoutEnabledByDefault = true;

				}

				s_userLockoutEnabledByDefault = result;

			}

			return s_userLockoutEnabledByDefault.Value;

		}

		set { s_userLockoutEnabledByDefault = value; }

	}

}

Step2.撰寫鎖定邏輯

@AuthorizationServerProvider.cs

在取得 Token 的 GrantResourceOwnerCredentials 方法裡面,控制帳號鎖定邏輯

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

{

    var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

    var user = await userManager.FindByNameAsync(context.UserName);

    if (user == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    var validCredentials = await userManager.FindAsync(context.UserName, context.Password);

    var enableLockout = await userManager.GetLockoutEnabledAsync(user.Id);

    if (await userManager.IsLockedOutAsync(user.Id))

    {

        var message = string.Format(

            "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

            AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        ;

        context.SetError("invalid_grant", message);

        return;

    }

    if (enableLockout & validCredentials == null)

    {

        string message;

        await userManager.AccessFailedAsync(user.Id);

        if (await userManager.IsLockedOutAsync(user.Id))

        {

            message =

                string.Format(

                    "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

                    AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        }

        else

        {

            var accessFailedCount = await userManager.GetAccessFailedCountAsync(user.Id);

            var attemptsLeft = AppSetting.MaxFailedAccessAttemptsBeforeLockout -

                               accessFailedCount;

            message =

                string.Format(

                    "Invalid credentials. You have {0} more attempt(s) before your account gets locked out.",

                    attemptsLeft);

        }

        context.SetError("invalid_grant", message);

        return;

    }

    if (validCredentials == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    await userManager.ResetAccessFailedCountAsync(user.Id);

    var oAuthIdentity = await userManager.CreateIdentityAsync(user, OAuthDefaults.AuthenticationType);

    var properties = CreateProperties(user.UserName);

    var oAuthTicket = new AuthenticationTicket(oAuthIdentity, properties);

    context.Validated(oAuthTicket);

}

Step3.撰寫測試程式碼

可以在測試程式碼裡直接注入 Lockout 屬性

[ClassInitialize]

public static void Initialize(TestContext testContext)

{

    Database.SetInitializer(new DropCreateDatabaseIfModelChanges<ApplicationDbContext>());

    AppSetting.UserLockoutEnabledByDefault = true;

    AppSetting.DefaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(5);

    AppSetting.MaxFailedAccessAttemptsBeforeLockout = 3;

}

在測試程式碼,我模擬登入失敗超過三次

[TestMethod]

public async Task Login_Fail_3_Lockout_3Test()

{

    await RegisterAsync();

    Password = "Pass@w0rd2~";

    var token1 = await LoginAsync();

    token1.ErrorDescription.Should()

          .Be("Invalid credentials. You have 2 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token2 = await LoginAsync();

    token2.ErrorDescription.Should()

          .Be("Invalid credentials. You have 1 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token3 = await LoginAsync();

    token3.ErrorDescription.Should()

          .Be("Your account has been locked out for 5 minutes due to multiple failed login attempts.");

}
假如你一直無法在 Production 裡面正確的使用 Lockout 請查看資料庫確認該帳號的 LockoutEnabled 有被打開。
 
原文:
https://dotblogs.com.tw/yc421206/2016/08/03/asp_net_identity_oauth_user_lockout

MVc Identity登陆锁定的更多相关文章

  1. Python作业之三次登陆锁定用户

    作业之三次登陆锁定用户 作业要求如下: 1. 输入用户名和密码 2. 认证成功提示欢迎信息 3. 认证失败三次锁定用户 具体代码如下: 方法1: import os#导入os模块 if os.path ...

  2. ASP.NET MVC Identity 兩個多個連接字符串問題解決一例

    按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由于還要加自己已有的數據庫,所以建立了一個實體模型,建立了之后,發現登錄不了: 一直顯示“Login in failed for ...

  3. MVC绕过登陆界面验证时HttpContext.Current.User.Identity.Name取值为空问题解决方法

    Global.asax界面添加如下方法: void FormsAuthentication_Authenticate(object sender, FormsAuthenticationEventAr ...

  4. MVC SSO登陆 的麻烦事~

    前段时间用MVC + Redis 做session搞了个简单的单点登录Web站.真是日了狗的问题多. 今天正好睡不着,做个备忘笔记>_< 实现方法很简单,无非就是从重载个Controlle ...

  5. MVC用户登陆验证及权限检查(Form认证)

    1.配置Web.conf,使用Form认证方式   <system.web>     <authentication mode="None" />      ...

  6. MVC基本登陆与验证码功能实现

    一.基本登陆实现与验证码功能实现,该功能是和spring.net功能集合使用的,因为后面要用到验证是否处于登陆状态 1. 先构建一个登陆页面 @{ Layout = null; } <!DOCT ...

  7. .NET MVC中登陆授权过滤器的使用

    1.写个类LoginAuthorityAttribute,继承自AuthorizeAttribute using System; using System.Collections.Generic; u ...

  8. [Python3.x]多次登陆锁定用户

    要求:输入用户名,密码认证成功显示欢迎信息输入错误三次后锁定用户Readme: 1.account.txt是存放用户id及密码的文件 2.account_loc.txt是存放被锁定的用户id的文档,默 ...

  9. ASP.NET MVC Identity 添加角色

    using Microsoft.AspNet.Identity; public ActionResult AddRole(String name){ using (var roleManager = ...

随机推荐

  1. 8.抽象类、接口和多态.md

    目录 1.抽象类 1.抽象类 2.接口和抽象类的关系 2.1实现上的区别: 22.类和接口的关系: 2.3.Java为什么只能单继承可以多实现: 2.4.接口和接口的关系: 3.多态 2.接口和抽象类 ...

  2. 实现了一下Mp3播放器的功能

    实现了一下Mp3播放器的功能 简单的实现了一下Mp3播放器的功能,见面比较的不美好,讲 究看一下就好了. 主要功能: 1.显示文件列表,主要参照了一位前辈的代码,谢咯. 2.可以实现播放开始,暂停. ...

  3. python小数据池概念以及具体范围

    =   赋值符号:        ==  比较值是否相等:   is  比较,比较的是内存地址      ID(内容) 数字,字符串的小数据池 小数据池现象产生的原因,作用: 为了节省内存空间. &l ...

  4. 定时删除文件夹"$1"下最后修改时间大于当前时间"$2"天的文件

    shell 脚本: #!/bin/bash now=`date "+%Y-%m-%d_%H:%M:%S"`      #获取当前时间 echo "当前时间: " ...

  5. 云主机上配置lamp环境 php5.6+apache2.2.15+mysql5.1.73

    安装 PHP5.6 rpm -Uvh http://ftp.iij.ad.jp/pub/linux/fedora/epel/6/i386/epel-release-6-8.noarch.rpm; rp ...

  6. table-cell http://www.cnblogs.com/StormSpirit/archive/2012/10/24/2736453.html

    http://www.cnblogs.com/StormSpirit/archive/2012/10/24/2736453.html

  7. ssh架构之hibernate(一)简单使用hibernate完成CRUD

    1.Hibernate简介   Hibernate是一个开放源代码的对象关系映射(ORM)框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一个全自动的orm框架,h ...

  8. 2.4、CDH 搭建Hadoop在安装(Cloudera Software安装和配置MySQL)

    为Cloudera Software安装和配置MySQL 要使用MySQL数据库,请按照以下过程操作.有关MySQL数据库兼容版本的信息,请参阅CDH和Cloudera Manager支持的数据库. ...

  9. 1.3.1、CDH 搭建Hadoop在安装之前(端口---Cloudera Manager和Cloudera Navigator使用的端口)

    下图概述了Cloudera Manager,Cloudera Navigator和Cloudera Management Service角色使用的一些端口: Cloudera Manager和Clou ...

  10. jquery+jquery.pagination+php+ajax 无刷新分页

    <!DOCTYPE html> <html ><head><meta http-equiv="Content-Type" content= ...