Ho cercato questo negli ultimi 2 giorni dopo aver implementato il mio sistema per vietare troppi tentativi. Ma non ho trovato la risposta corretta che sto cercando. Che praticamente è, qual è il modo migliore per implementarlo?Il modo migliore per implementare il divieto dopo troppi tentativi di accesso
Attualmente l'ho implementato tramite un divieto IP, se lo stesso IP effettua consecutivamente un errore di accesso 10 volte, l'IP è vietato per 30 minuti dalla possibilità di accedere, possono navigare ancora sul sito. Tuttavia, se ciò si è verificato in un'area ad alta densità di popolazione, come un campus universitario, questo non bloccherebbe in modo efficace l'intera scuola dall'accedere?
Quindi c'è un modo migliore per farlo, che non usa gli indirizzi IP? Stavo pensando che potrei farlo con i cookie, ma l'utente che cerca di forzare un account può semplicemente cancellare i loro cookie ogni 10 tentativi.
Si dovrebbe ri-utilizzare un framework di autenticazione esistente, quando possibile, perché, in realtà, è complesso. Ad esempio, dai un'occhiata a https://github.com/delight-im/PHP-Auth che è sia agnostico che indipendente dal database. Fa strozzatura, che è quello che vuoi, automaticamente. – caw