2016-08-03

[ASP.NET Identity] OAuth Server 鎖定(Lockout)登入失敗次數太多的帳號

這個功能看似很簡單,但我一直無法成功鎖定帳號,追根究柢就是不了解運作方式,以下就來分享實作心得

Lockout 相關成員

欄位

帳號失敗次數鎖定,在 AspNetUsers Table 用三個欄位控制

  • LockedEnable:是否啟用鎖定
  • AccessFailedCount:失敗次數
  • LockoutEndDateUtc:鎖定到期時間

行為

  • ApplicationUserManager.SetLockoutEnabledAsync(user.Id) 方法,控制 LockedEnable 欄位= true | false
  • ApplicationUserManager.AccessFailedAsync(user.Id) 方法,控制 LockoutEndDateUtc 和 AccessFailedCount 欄位。
當調用一次 AccessFailedAsync(),AccessFailedCount 累加一,超過定義次數,AccessFailedCount 歸零,寫入 LockoutEndDateUtc 時間
  • ApplicationUserManager.SetLockoutEndDateAsync() 方法,控制結束鎖定時間
  • ApplicationUserManager.IsLockedOutAsync(user.Id) ,以 LockoutEndDateUtc 和 LockedEnable 欄位決定是否為 Lockout

另外,ApplicationSignInManager 也能處理 Lockout

  • ApplicationSignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true),

屬性

還有三個屬性,可以定義,分別是:

  • ApplicationUserManager.DefaultAccountLockoutTimeSpan 屬性,鎖定時間
  • ApplicationUserManager.MaxFailedAccessAttemptsBeforeLockout 屬性,最多失敗次數
  • ApplicationUserManager.UserLockoutEnabledByDefault 屬性,建立帳號時是否啟用鎖定

Step1.定義 Lockout 屬性

@Startup.cs

把控制 Lockout 的屬性放在 Startup.CreateUserManager 方法集中建立

@AppSetting.cs

這個類別,提供讀取 Web.Config 的屬性並 Cache 起來,以免一個 Request 請求就讀一次檔案

public class AppSetting

{

	private static TimeSpan? s_defaultAccountLockoutTimeSpan;

	private static int? s_maxFailedAccessAttemptsBeforeLockout;

	private static bool? s_userLockoutEnabledByDefault;

	public static TimeSpan DefaultAccountLockoutTimeSpan

	{

		get

		{

			if (!s_defaultAccountLockoutTimeSpan.HasValue)

			{

				double result;

				if (double.TryParse(ConfigurationManager.AppSettings["DefaultAccountLockoutTimeSpan"], out result))

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(result);

				}

				else

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(20);

				}

			}

			return s_defaultAccountLockoutTimeSpan.Value;

		}

		set { s_defaultAccountLockoutTimeSpan = value; }

	}

	public static int MaxFailedAccessAttemptsBeforeLockout

	{

		get

		{

			if (!s_maxFailedAccessAttemptsBeforeLockout.HasValue)

			{

				int result;

				if (int.TryParse(ConfigurationManager.AppSettings["MaxFailedAccessAttemptsBeforeLockout"],

								 out result))

				{

					s_maxFailedAccessAttemptsBeforeLockout = result;

				}

				else

				{

					s_maxFailedAccessAttemptsBeforeLockout = 5;

				}

				s_maxFailedAccessAttemptsBeforeLockout = result;

			}

			return s_maxFailedAccessAttemptsBeforeLockout.Value;

		}

		set { s_maxFailedAccessAttemptsBeforeLockout = value; }

	}

	public static bool UserLockoutEnabledByDefault

	{

		get

		{

			if (!s_userLockoutEnabledByDefault.HasValue)

			{

				bool result;

				if (bool.TryParse(ConfigurationManager.AppSettings["UserLockoutEnabledByDefault"], out result))

				{

					s_userLockoutEnabledByDefault = result;

				}

				else

				{

					s_userLockoutEnabledByDefault = true;

				}

				s_userLockoutEnabledByDefault = result;

			}

			return s_userLockoutEnabledByDefault.Value;

		}

		set { s_userLockoutEnabledByDefault = value; }

	}

}

Step2.撰寫鎖定邏輯

@AuthorizationServerProvider.cs

在取得 Token 的 GrantResourceOwnerCredentials 方法裡面,控制帳號鎖定邏輯

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

{

    var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

    var user = await userManager.FindByNameAsync(context.UserName);

    if (user == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    var validCredentials = await userManager.FindAsync(context.UserName, context.Password);

    var enableLockout = await userManager.GetLockoutEnabledAsync(user.Id);

    if (await userManager.IsLockedOutAsync(user.Id))

    {

        var message = string.Format(

            "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

            AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        ;

        context.SetError("invalid_grant", message);

        return;

    }

    if (enableLockout & validCredentials == null)

    {

        string message;

        await userManager.AccessFailedAsync(user.Id);

        if (await userManager.IsLockedOutAsync(user.Id))

        {

            message =

                string.Format(

                    "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

                    AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        }

        else

        {

            var accessFailedCount = await userManager.GetAccessFailedCountAsync(user.Id);

            var attemptsLeft = AppSetting.MaxFailedAccessAttemptsBeforeLockout -

                               accessFailedCount;

            message =

                string.Format(

                    "Invalid credentials. You have {0} more attempt(s) before your account gets locked out.",

                    attemptsLeft);

        }

        context.SetError("invalid_grant", message);

        return;

    }

    if (validCredentials == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    await userManager.ResetAccessFailedCountAsync(user.Id);

    var oAuthIdentity = await userManager.CreateIdentityAsync(user, OAuthDefaults.AuthenticationType);

    var properties = CreateProperties(user.UserName);

    var oAuthTicket = new AuthenticationTicket(oAuthIdentity, properties);

    context.Validated(oAuthTicket);

}

Step3.撰寫測試程式碼

可以在測試程式碼裡直接注入 Lockout 屬性

[ClassInitialize]

public static void Initialize(TestContext testContext)

{

    Database.SetInitializer(new DropCreateDatabaseIfModelChanges<ApplicationDbContext>());

    AppSetting.UserLockoutEnabledByDefault = true;

    AppSetting.DefaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(5);

    AppSetting.MaxFailedAccessAttemptsBeforeLockout = 3;

}

在測試程式碼,我模擬登入失敗超過三次

[TestMethod]

public async Task Login_Fail_3_Lockout_3Test()

{

    await RegisterAsync();

    Password = "Pass@w0rd2~";

    var token1 = await LoginAsync();

    token1.ErrorDescription.Should()

          .Be("Invalid credentials. You have 2 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token2 = await LoginAsync();

    token2.ErrorDescription.Should()

          .Be("Invalid credentials. You have 1 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token3 = await LoginAsync();

    token3.ErrorDescription.Should()

          .Be("Your account has been locked out for 5 minutes due to multiple failed login attempts.");

}
假如你一直無法在 Production 裡面正確的使用 Lockout 請查看資料庫確認該帳號的 LockoutEnabled 有被打開。
 
原文:
https://dotblogs.com.tw/yc421206/2016/08/03/asp_net_identity_oauth_user_lockout

MVc Identity登陆锁定的更多相关文章

  1. Python作业之三次登陆锁定用户

    作业之三次登陆锁定用户 作业要求如下: 1. 输入用户名和密码 2. 认证成功提示欢迎信息 3. 认证失败三次锁定用户 具体代码如下: 方法1: import os#导入os模块 if os.path ...

  2. ASP.NET MVC Identity 兩個多個連接字符串問題解決一例

    按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由于還要加自己已有的數據庫,所以建立了一個實體模型,建立了之后,發現登錄不了: 一直顯示“Login in failed for ...

  3. MVC绕过登陆界面验证时HttpContext.Current.User.Identity.Name取值为空问题解决方法

    Global.asax界面添加如下方法: void FormsAuthentication_Authenticate(object sender, FormsAuthenticationEventAr ...

  4. MVC SSO登陆 的麻烦事~

    前段时间用MVC + Redis 做session搞了个简单的单点登录Web站.真是日了狗的问题多. 今天正好睡不着,做个备忘笔记>_< 实现方法很简单,无非就是从重载个Controlle ...

  5. MVC用户登陆验证及权限检查(Form认证)

    1.配置Web.conf,使用Form认证方式   <system.web>     <authentication mode="None" />      ...

  6. MVC基本登陆与验证码功能实现

    一.基本登陆实现与验证码功能实现,该功能是和spring.net功能集合使用的,因为后面要用到验证是否处于登陆状态 1. 先构建一个登陆页面 @{ Layout = null; } <!DOCT ...

  7. .NET MVC中登陆授权过滤器的使用

    1.写个类LoginAuthorityAttribute,继承自AuthorizeAttribute using System; using System.Collections.Generic; u ...

  8. [Python3.x]多次登陆锁定用户

    要求:输入用户名,密码认证成功显示欢迎信息输入错误三次后锁定用户Readme: 1.account.txt是存放用户id及密码的文件 2.account_loc.txt是存放被锁定的用户id的文档,默 ...

  9. ASP.NET MVC Identity 添加角色

    using Microsoft.AspNet.Identity; public ActionResult AddRole(String name){ using (var roleManager = ...

随机推荐

  1. ReactiveX 学习笔记(17)使用 RxSwift + Alamofire 调用 REST API

    JSON : Placeholder JSON : Placeholder (https://jsonplaceholder.typicode.com/) 是一个用于测试的 REST API 网站. ...

  2. Python使用xlwt模块 操作Excel文件

    导出Excel文件     1. 使用xlwt模块 import xlwt import xlwt    # 导入xlwt # 新建一个excel文件 file = xlwt.Workbook() # ...

  3. openwrt手工配置pptpd

    官方wiki:http://wiki.openwrt.org/doc/howto/vpn.server.pptpd#prerequisites 20190220更新:PPTP VPN协议已经被 IOS ...

  4. Mysql数据库如何创建用户

    创建test用户,密码是1234. MySQL u root -p CREATE USER 'test'@'localhost'  IDENTIFIED BY '1234'; #本地登录 CREATE ...

  5. 解决error: only position independent executables (PIE) are supported

    在Android.mk文件中添加以下内容 LOCAL_CFLAGS += -pie -fPIE LOCAL_LDFLAGS += -pie -fPIE 原帖地址:http://blog.csdn.ne ...

  6. 在服务器上同时启动多个tomcat

    我所用Tomcat服务器都为zip版,非安装版.以两个为例:安装第二个Tomcat完成后,到安装目录下的conf子目录中打开server.xml文件,查找以下三处:(1) 修改http访问端口(默认为 ...

  7. repo 原理

    Android源代码工程用repo来进行管理,本质是多个git仓的整合. 感谢https://blog.csdn.net/stoic163/article/details/78790349 1.Gen ...

  8. 吴裕雄 python 数据处理(3)

    import time a = time.time()print(a)b = time.localtime()print(b)c = time.strftime("%Y-%m-%d %X&q ...

  9. Conscription-最小生成树-Kruskal

    Windy has a country, and he wants to build an army to protect his country. He has picked up N girls ...

  10. JS----事件3

    一 事件对象(event):与特定事件相关且包含有关该事件详细信息的对象通过事件可以触发event对象的元素,鼠标的位置及状态,按下的键等等event对象只在事件发生的过程中才有效非IE浏览器里的ev ...