春のセキュリティ2.0.3と辞書の攻撃

Question

私は春のセキュリティ2.0.3を実行しており、簡単な辞書の攻撃ブロックを実装する必要があります。 埋め込みは非常に簡単で、userstatusのプロパティとブロックされた値を追加します 最後のログインからX回のログイン試行が間違っているときに値が割り当てられたとき。 問題は、スプリングセキュリティを介して適切なページにリダイレクトする方法です。
login.jspにリダイレクトされ、いくつかのセッションマーカーが入力をブロックします（これはJSブロックだけですが、まだ必要です）。 スプリングセキュリティのUserDetailServiceインターフェイスは、私自身のBadCredentialsException拡張をスローすることを可能にするloadByUserNameメソッドを定義しますが、ExceptionTranslationFilterは私にそれを利用させません。春にそれを行う方法が組み込まれているか、何かをハックする必要がありますか？ おかげ

Answer 1

私はこれを行うような方法がPre-authフィルターやブルートフォーススタイルの攻撃からあなたの小切手を実装Authentication Processingフィルタのいずれかを実装しているdocumentation.のセクション2.3.5を見てみましょう。ほとんどの場合、元のフィルタクラスに委任するフィルタを作成することをお勧めします。ただし、ユーザーがリクエストを多すぎたかどうかを確認するチェックは除きます。元のフィルタに委譲します。

Answer 2

DB内のカウント/ブロックフラグを更新し、リダイレクトを実行するAuthenticationFailureHandlerを実装します。とにかく、攻撃者がクッキーを送信しないため、セッションを使用することには期待していません。