2016-08-03

[ASP.NET Identity] OAuth Server 鎖定(Lockout)登入失敗次數太多的帳號

這個功能看似很簡單,但我一直無法成功鎖定帳號,追根究柢就是不了解運作方式,以下就來分享實作心得

Lockout 相關成員

欄位

帳號失敗次數鎖定,在 AspNetUsers Table 用三個欄位控制

  • LockedEnable:是否啟用鎖定
  • AccessFailedCount:失敗次數
  • LockoutEndDateUtc:鎖定到期時間

行為

  • ApplicationUserManager.SetLockoutEnabledAsync(user.Id) 方法,控制 LockedEnable 欄位= true | false
  • ApplicationUserManager.AccessFailedAsync(user.Id) 方法,控制 LockoutEndDateUtc 和 AccessFailedCount 欄位。
當調用一次 AccessFailedAsync(),AccessFailedCount 累加一,超過定義次數,AccessFailedCount 歸零,寫入 LockoutEndDateUtc 時間
  • ApplicationUserManager.SetLockoutEndDateAsync() 方法,控制結束鎖定時間
  • ApplicationUserManager.IsLockedOutAsync(user.Id) ,以 LockoutEndDateUtc 和 LockedEnable 欄位決定是否為 Lockout

另外,ApplicationSignInManager 也能處理 Lockout

  • ApplicationSignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true),

屬性

還有三個屬性,可以定義,分別是:

  • ApplicationUserManager.DefaultAccountLockoutTimeSpan 屬性,鎖定時間
  • ApplicationUserManager.MaxFailedAccessAttemptsBeforeLockout 屬性,最多失敗次數
  • ApplicationUserManager.UserLockoutEnabledByDefault 屬性,建立帳號時是否啟用鎖定

Step1.定義 Lockout 屬性

@Startup.cs

把控制 Lockout 的屬性放在 Startup.CreateUserManager 方法集中建立

@AppSetting.cs

這個類別,提供讀取 Web.Config 的屬性並 Cache 起來,以免一個 Request 請求就讀一次檔案

public class AppSetting

{

	private static TimeSpan? s_defaultAccountLockoutTimeSpan;

	private static int? s_maxFailedAccessAttemptsBeforeLockout;

	private static bool? s_userLockoutEnabledByDefault;

	public static TimeSpan DefaultAccountLockoutTimeSpan

	{

		get

		{

			if (!s_defaultAccountLockoutTimeSpan.HasValue)

			{

				double result;

				if (double.TryParse(ConfigurationManager.AppSettings["DefaultAccountLockoutTimeSpan"], out result))

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(result);

				}

				else

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(20);

				}

			}

			return s_defaultAccountLockoutTimeSpan.Value;

		}

		set { s_defaultAccountLockoutTimeSpan = value; }

	}

	public static int MaxFailedAccessAttemptsBeforeLockout

	{

		get

		{

			if (!s_maxFailedAccessAttemptsBeforeLockout.HasValue)

			{

				int result;

				if (int.TryParse(ConfigurationManager.AppSettings["MaxFailedAccessAttemptsBeforeLockout"],

								 out result))

				{

					s_maxFailedAccessAttemptsBeforeLockout = result;

				}

				else

				{

					s_maxFailedAccessAttemptsBeforeLockout = 5;

				}

				s_maxFailedAccessAttemptsBeforeLockout = result;

			}

			return s_maxFailedAccessAttemptsBeforeLockout.Value;

		}

		set { s_maxFailedAccessAttemptsBeforeLockout = value; }

	}

	public static bool UserLockoutEnabledByDefault

	{

		get

		{

			if (!s_userLockoutEnabledByDefault.HasValue)

			{

				bool result;

				if (bool.TryParse(ConfigurationManager.AppSettings["UserLockoutEnabledByDefault"], out result))

				{

					s_userLockoutEnabledByDefault = result;

				}

				else

				{

					s_userLockoutEnabledByDefault = true;

				}

				s_userLockoutEnabledByDefault = result;

			}

			return s_userLockoutEnabledByDefault.Value;

		}

		set { s_userLockoutEnabledByDefault = value; }

	}

}

Step2.撰寫鎖定邏輯

@AuthorizationServerProvider.cs

在取得 Token 的 GrantResourceOwnerCredentials 方法裡面,控制帳號鎖定邏輯

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

{

    var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

    var user = await userManager.FindByNameAsync(context.UserName);

    if (user == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    var validCredentials = await userManager.FindAsync(context.UserName, context.Password);

    var enableLockout = await userManager.GetLockoutEnabledAsync(user.Id);

    if (await userManager.IsLockedOutAsync(user.Id))

    {

        var message = string.Format(

            "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

            AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        ;

        context.SetError("invalid_grant", message);

        return;

    }

    if (enableLockout & validCredentials == null)

    {

        string message;

        await userManager.AccessFailedAsync(user.Id);

        if (await userManager.IsLockedOutAsync(user.Id))

        {

            message =

                string.Format(

                    "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

                    AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        }

        else

        {

            var accessFailedCount = await userManager.GetAccessFailedCountAsync(user.Id);

            var attemptsLeft = AppSetting.MaxFailedAccessAttemptsBeforeLockout -

                               accessFailedCount;

            message =

                string.Format(

                    "Invalid credentials. You have {0} more attempt(s) before your account gets locked out.",

                    attemptsLeft);

        }

        context.SetError("invalid_grant", message);

        return;

    }

    if (validCredentials == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    await userManager.ResetAccessFailedCountAsync(user.Id);

    var oAuthIdentity = await userManager.CreateIdentityAsync(user, OAuthDefaults.AuthenticationType);

    var properties = CreateProperties(user.UserName);

    var oAuthTicket = new AuthenticationTicket(oAuthIdentity, properties);

    context.Validated(oAuthTicket);

}

Step3.撰寫測試程式碼

可以在測試程式碼裡直接注入 Lockout 屬性

[ClassInitialize]

public static void Initialize(TestContext testContext)

{

    Database.SetInitializer(new DropCreateDatabaseIfModelChanges<ApplicationDbContext>());

    AppSetting.UserLockoutEnabledByDefault = true;

    AppSetting.DefaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(5);

    AppSetting.MaxFailedAccessAttemptsBeforeLockout = 3;

}

在測試程式碼,我模擬登入失敗超過三次

[TestMethod]

public async Task Login_Fail_3_Lockout_3Test()

{

    await RegisterAsync();

    Password = "Pass@w0rd2~";

    var token1 = await LoginAsync();

    token1.ErrorDescription.Should()

          .Be("Invalid credentials. You have 2 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token2 = await LoginAsync();

    token2.ErrorDescription.Should()

          .Be("Invalid credentials. You have 1 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token3 = await LoginAsync();

    token3.ErrorDescription.Should()

          .Be("Your account has been locked out for 5 minutes due to multiple failed login attempts.");

}
假如你一直無法在 Production 裡面正確的使用 Lockout 請查看資料庫確認該帳號的 LockoutEnabled 有被打開。
 
原文:
https://dotblogs.com.tw/yc421206/2016/08/03/asp_net_identity_oauth_user_lockout

MVc Identity登陆锁定的更多相关文章

  1. Python作业之三次登陆锁定用户

    作业之三次登陆锁定用户 作业要求如下: 1. 输入用户名和密码 2. 认证成功提示欢迎信息 3. 认证失败三次锁定用户 具体代码如下: 方法1: import os#导入os模块 if os.path ...

  2. ASP.NET MVC Identity 兩個多個連接字符串問題解決一例

    按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由于還要加自己已有的數據庫,所以建立了一個實體模型,建立了之后,發現登錄不了: 一直顯示“Login in failed for ...

  3. MVC绕过登陆界面验证时HttpContext.Current.User.Identity.Name取值为空问题解决方法

    Global.asax界面添加如下方法: void FormsAuthentication_Authenticate(object sender, FormsAuthenticationEventAr ...

  4. MVC SSO登陆 的麻烦事~

    前段时间用MVC + Redis 做session搞了个简单的单点登录Web站.真是日了狗的问题多. 今天正好睡不着,做个备忘笔记>_< 实现方法很简单,无非就是从重载个Controlle ...

  5. MVC用户登陆验证及权限检查(Form认证)

    1.配置Web.conf,使用Form认证方式   <system.web>     <authentication mode="None" />      ...

  6. MVC基本登陆与验证码功能实现

    一.基本登陆实现与验证码功能实现,该功能是和spring.net功能集合使用的,因为后面要用到验证是否处于登陆状态 1. 先构建一个登陆页面 @{ Layout = null; } <!DOCT ...

  7. .NET MVC中登陆授权过滤器的使用

    1.写个类LoginAuthorityAttribute,继承自AuthorizeAttribute using System; using System.Collections.Generic; u ...

  8. [Python3.x]多次登陆锁定用户

    要求:输入用户名,密码认证成功显示欢迎信息输入错误三次后锁定用户Readme: 1.account.txt是存放用户id及密码的文件 2.account_loc.txt是存放被锁定的用户id的文档,默 ...

  9. ASP.NET MVC Identity 添加角色

    using Microsoft.AspNet.Identity; public ActionResult AddRole(String name){ using (var roleManager = ...

随机推荐

  1. [ 测试思维 ] 启发式测试策略模型(HTSM)

    什么是HTSM 启发式测试策略模型(Heuristic Test Strategy Model,简称HTSM)是测试专家James Bach提出的一组帮助测试设计的指南(Guide line).HTS ...

  2. webpack打包avalon+mmRouter

    这是上一篇<webpack打包avalon+oniui+jquery>的姐妹篇,avalon 的高级应用篇.大家要知道,现在最流行的网页架构就是SPA,SPA能提高用户体验.用户许多数据都 ...

  3. python 问答

    1.list和tuple有什么区别? list是可变的,可以添加list.append,可以插入list.insert,可以改变元素值list[2] ='a':而tuple在初始化的时候就确定了,不能 ...

  4. 27.反射2.md

    目录 1.反射 2.类对象获取 3.构造函数获取 4.函数获取 4.注解反射 1.反射 定义:把一个字节码文件加载到内存中,jvm对该字节码文件解析,创造一个Class对象,把字节码文件中的信息全部存 ...

  5. ArcGIS特殊标注效果的简单实现

    1. 普通纯色背景:例如望仙亭,水垄沟: 方法:   2. 背景+边框 例如进入点 方法:    

  6. (转)NHibernate+MySql常见问题

    http://blog.51cto.com/4837471/1567675 版本: NHibernate :NHibernate 4.0.1GA MySql:MySql 5.0.1 常见问题一: “N ...

  7. Oracle Error

    1. TNS:listener does not currently know of service requested in connect descriptor 数据库连接出错

  8. 零基础用Docker部署微服务

    1. docker架构 这里的Client和DOCKER_HOST(docker server)都是在本地的,docker仓库Registry是在远程的: Client的docker命令通过Docke ...

  9. soap 简单调用其他系统的函数

    <?xml version ='1.0' encoding ='UTF-8' ?> <definitions name='自定义名称' targetNamespace='目标命名空间 ...

  10. window上安装 MongoDB 及其 PHP扩展

    window上安装 MongoDB 及其 PHP扩展   工具/原料   window MongoDB MongoDB 方法/步骤     MongoDB 下载 MongoDB提供了可用于32位和64 ...