2016-08-03

[ASP.NET Identity] OAuth Server 鎖定(Lockout)登入失敗次數太多的帳號

這個功能看似很簡單,但我一直無法成功鎖定帳號,追根究柢就是不了解運作方式,以下就來分享實作心得

Lockout 相關成員

欄位

帳號失敗次數鎖定,在 AspNetUsers Table 用三個欄位控制

  • LockedEnable:是否啟用鎖定
  • AccessFailedCount:失敗次數
  • LockoutEndDateUtc:鎖定到期時間

行為

  • ApplicationUserManager.SetLockoutEnabledAsync(user.Id) 方法,控制 LockedEnable 欄位= true | false
  • ApplicationUserManager.AccessFailedAsync(user.Id) 方法,控制 LockoutEndDateUtc 和 AccessFailedCount 欄位。
當調用一次 AccessFailedAsync(),AccessFailedCount 累加一,超過定義次數,AccessFailedCount 歸零,寫入 LockoutEndDateUtc 時間
  • ApplicationUserManager.SetLockoutEndDateAsync() 方法,控制結束鎖定時間
  • ApplicationUserManager.IsLockedOutAsync(user.Id) ,以 LockoutEndDateUtc 和 LockedEnable 欄位決定是否為 Lockout

另外,ApplicationSignInManager 也能處理 Lockout

  • ApplicationSignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true),

屬性

還有三個屬性,可以定義,分別是:

  • ApplicationUserManager.DefaultAccountLockoutTimeSpan 屬性,鎖定時間
  • ApplicationUserManager.MaxFailedAccessAttemptsBeforeLockout 屬性,最多失敗次數
  • ApplicationUserManager.UserLockoutEnabledByDefault 屬性,建立帳號時是否啟用鎖定

Step1.定義 Lockout 屬性

@Startup.cs

把控制 Lockout 的屬性放在 Startup.CreateUserManager 方法集中建立

@AppSetting.cs

這個類別,提供讀取 Web.Config 的屬性並 Cache 起來,以免一個 Request 請求就讀一次檔案

public class AppSetting

{

	private static TimeSpan? s_defaultAccountLockoutTimeSpan;

	private static int? s_maxFailedAccessAttemptsBeforeLockout;

	private static bool? s_userLockoutEnabledByDefault;

	public static TimeSpan DefaultAccountLockoutTimeSpan

	{

		get

		{

			if (!s_defaultAccountLockoutTimeSpan.HasValue)

			{

				double result;

				if (double.TryParse(ConfigurationManager.AppSettings["DefaultAccountLockoutTimeSpan"], out result))

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(result);

				}

				else

				{

					s_defaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(20);

				}

			}

			return s_defaultAccountLockoutTimeSpan.Value;

		}

		set { s_defaultAccountLockoutTimeSpan = value; }

	}

	public static int MaxFailedAccessAttemptsBeforeLockout

	{

		get

		{

			if (!s_maxFailedAccessAttemptsBeforeLockout.HasValue)

			{

				int result;

				if (int.TryParse(ConfigurationManager.AppSettings["MaxFailedAccessAttemptsBeforeLockout"],

								 out result))

				{

					s_maxFailedAccessAttemptsBeforeLockout = result;

				}

				else

				{

					s_maxFailedAccessAttemptsBeforeLockout = 5;

				}

				s_maxFailedAccessAttemptsBeforeLockout = result;

			}

			return s_maxFailedAccessAttemptsBeforeLockout.Value;

		}

		set { s_maxFailedAccessAttemptsBeforeLockout = value; }

	}

	public static bool UserLockoutEnabledByDefault

	{

		get

		{

			if (!s_userLockoutEnabledByDefault.HasValue)

			{

				bool result;

				if (bool.TryParse(ConfigurationManager.AppSettings["UserLockoutEnabledByDefault"], out result))

				{

					s_userLockoutEnabledByDefault = result;

				}

				else

				{

					s_userLockoutEnabledByDefault = true;

				}

				s_userLockoutEnabledByDefault = result;

			}

			return s_userLockoutEnabledByDefault.Value;

		}

		set { s_userLockoutEnabledByDefault = value; }

	}

}

Step2.撰寫鎖定邏輯

@AuthorizationServerProvider.cs

在取得 Token 的 GrantResourceOwnerCredentials 方法裡面,控制帳號鎖定邏輯

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

{

    var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

    var user = await userManager.FindByNameAsync(context.UserName);

    if (user == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    var validCredentials = await userManager.FindAsync(context.UserName, context.Password);

    var enableLockout = await userManager.GetLockoutEnabledAsync(user.Id);

    if (await userManager.IsLockedOutAsync(user.Id))

    {

        var message = string.Format(

            "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

            AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        ;

        context.SetError("invalid_grant", message);

        return;

    }

    if (enableLockout & validCredentials == null)

    {

        string message;

        await userManager.AccessFailedAsync(user.Id);

        if (await userManager.IsLockedOutAsync(user.Id))

        {

            message =

                string.Format(

                    "Your account has been locked out for {0} minutes due to multiple failed login attempts.",

                    AppSetting.DefaultAccountLockoutTimeSpan.TotalMinutes);

        }

        else

        {

            var accessFailedCount = await userManager.GetAccessFailedCountAsync(user.Id);

            var attemptsLeft = AppSetting.MaxFailedAccessAttemptsBeforeLockout -

                               accessFailedCount;

            message =

                string.Format(

                    "Invalid credentials. You have {0} more attempt(s) before your account gets locked out.",

                    attemptsLeft);

        }

        context.SetError("invalid_grant", message);

        return;

    }

    if (validCredentials == null)

    {

        var message = "Invalid credentials. Please try again.";

        context.SetError("invalid_grant", message);

        return;

    }

    await userManager.ResetAccessFailedCountAsync(user.Id);

    var oAuthIdentity = await userManager.CreateIdentityAsync(user, OAuthDefaults.AuthenticationType);

    var properties = CreateProperties(user.UserName);

    var oAuthTicket = new AuthenticationTicket(oAuthIdentity, properties);

    context.Validated(oAuthTicket);

}

Step3.撰寫測試程式碼

可以在測試程式碼裡直接注入 Lockout 屬性

[ClassInitialize]

public static void Initialize(TestContext testContext)

{

    Database.SetInitializer(new DropCreateDatabaseIfModelChanges<ApplicationDbContext>());

    AppSetting.UserLockoutEnabledByDefault = true;

    AppSetting.DefaultAccountLockoutTimeSpan = TimeSpan.FromMinutes(5);

    AppSetting.MaxFailedAccessAttemptsBeforeLockout = 3;

}

在測試程式碼,我模擬登入失敗超過三次

[TestMethod]

public async Task Login_Fail_3_Lockout_3Test()

{

    await RegisterAsync();

    Password = "Pass@w0rd2~";

    var token1 = await LoginAsync();

    token1.ErrorDescription.Should()

          .Be("Invalid credentials. You have 2 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token2 = await LoginAsync();

    token2.ErrorDescription.Should()

          .Be("Invalid credentials. You have 1 more attempt(s) before your account gets locked out.");

    Password = "Pass@w0rd2~";

    var token3 = await LoginAsync();

    token3.ErrorDescription.Should()

          .Be("Your account has been locked out for 5 minutes due to multiple failed login attempts.");

}
假如你一直無法在 Production 裡面正確的使用 Lockout 請查看資料庫確認該帳號的 LockoutEnabled 有被打開。
 
原文:
https://dotblogs.com.tw/yc421206/2016/08/03/asp_net_identity_oauth_user_lockout

MVc Identity登陆锁定的更多相关文章

  1. Python作业之三次登陆锁定用户

    作业之三次登陆锁定用户 作业要求如下: 1. 输入用户名和密码 2. 认证成功提示欢迎信息 3. 认证失败三次锁定用户 具体代码如下: 方法1: import os#导入os模块 if os.path ...

  2. ASP.NET MVC Identity 兩個多個連接字符串問題解決一例

    按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由于還要加自己已有的數據庫,所以建立了一個實體模型,建立了之后,發現登錄不了: 一直顯示“Login in failed for ...

  3. MVC绕过登陆界面验证时HttpContext.Current.User.Identity.Name取值为空问题解决方法

    Global.asax界面添加如下方法: void FormsAuthentication_Authenticate(object sender, FormsAuthenticationEventAr ...

  4. MVC SSO登陆 的麻烦事~

    前段时间用MVC + Redis 做session搞了个简单的单点登录Web站.真是日了狗的问题多. 今天正好睡不着,做个备忘笔记>_< 实现方法很简单,无非就是从重载个Controlle ...

  5. MVC用户登陆验证及权限检查(Form认证)

    1.配置Web.conf,使用Form认证方式   <system.web>     <authentication mode="None" />      ...

  6. MVC基本登陆与验证码功能实现

    一.基本登陆实现与验证码功能实现,该功能是和spring.net功能集合使用的,因为后面要用到验证是否处于登陆状态 1. 先构建一个登陆页面 @{ Layout = null; } <!DOCT ...

  7. .NET MVC中登陆授权过滤器的使用

    1.写个类LoginAuthorityAttribute,继承自AuthorizeAttribute using System; using System.Collections.Generic; u ...

  8. [Python3.x]多次登陆锁定用户

    要求:输入用户名,密码认证成功显示欢迎信息输入错误三次后锁定用户Readme: 1.account.txt是存放用户id及密码的文件 2.account_loc.txt是存放被锁定的用户id的文档,默 ...

  9. ASP.NET MVC Identity 添加角色

    using Microsoft.AspNet.Identity; public ActionResult AddRole(String name){ using (var roleManager = ...

随机推荐

  1. [ SHELL编程 ] shell编程中数值计算方法实例

    SHELL编程中经常会涉及到数值计算,有时候对于这些计算命令使用场景容易忘记或者混淆,这里针对常用的命令做个总结.主要包括let.bc.expr.(())等. 1.let 使用格式:let 表达式,表 ...

  2. Excel导入oracle的几种方法

    http://www.jb51.net/list/list_154_1.htm 方法一.使用SQL*Loader这个是用的较多的方法,前提必须oracle数据中目的表已经存在.大体步骤如下:1.将ex ...

  3. Delphi接口的底层实现

    引言 接口是面向对象程序语言中一个很重要的元素,它被描述为一组服务的集合,对于客户端来说,我们关心的只是提供的服务,而不必关心服务是如何实现的:对于服务端的类来说,如果它想实现某种服务,实现与该服务相 ...

  4. 学习JS的心路历程-范围Scope和提升(Hoisting)

    在上一篇提到了JS有三种声明变量的方式,分别是var.const及let,var和const let最大区别就是范围(scope)的限制.所以在这一篇我们会详谈何谓范围链及他们的复写优先级. 范围Sc ...

  5. scala spark 聚类

    import org.apache.spark.ml.clustering.KMeansimport org.apache.spark.ml.evaluation.ClusteringEvaluato ...

  6. windows的cmd下面格式化某个盘符

    1.crl+R 输入cmd回车. 2.如果要格式化的是E盘,哪直接输入 在DOS窗口中输入“format  f: “ ,其中:format 为格式化命令,f: 为需要格式化的分区

  7. linux基本之一

    1.目录棉集 / 根目录,理论上讲系统中的一切都属于他. /bin 存放所有用户都能执行的命令(二进制) /boot 存放启动文件/内核的相关文件,一般独立成为一个分区. /dev 存放物理设备的目录 ...

  8. Python 测试

    (1)import doctest doctest.testmod(verbose=True) (2) pip install tests

  9. cakephp 利用Pushapi扩展 进行app 消息推送

    public function push_designer_app($params) { $this->layout = false; $this->autoRender = false; ...

  10. mongodb 副本集部署

    1.安装三节点linux环境:196.168.1.111,196.168.1.112,192.168.1.113(三节点可彼此ping通) 2.三节点安装mongodb,参考https://blog. ...