Ограничение количества попыток авторизации

@Vopro · Регистрация: 15.04.2010

Студворк — интернет-сервис помощи студентам

Здравствуйте!

Искал везде исчерпывающую инфу, но так и не удалось найти нужный ответ. Итак, сам вопрос:

как ограничить количество попыток авторизоваться (скажем, на форуме)? При этом кукисы не катят по известной причине. Сессии, насколько я понял, не катят тоже, так как браузер можно закрыть нафик. Или все же есть какой-то вариант с ними? Можно ли их запомнить(в базе, скажем) так, чтобы они не сдохли? Вариант с блоком на количество проверок подбора пароля для какого-то конкретного логина тоже не нравится - хочется все же универсальности. Вариант с блоком айпи, видимо, тоже не выход, так как банить подсеть, где сидит 1000 человек, было бы не слишком рационально.

Заранее спасибо!

Vovan-VE · 15.04.2010, 17:06

Сессия - самый преемлемый вариант. Сессия хранит свой ID в кукисах. Срок сранение этой куки настраивается через session_set_cookie_params(). Настройте - и не будет теряться при закрытии браузера. Если все равно теряется, значит неправильно запускаете сессию.

Добавлено через 40 секунд
Хотя я с тем же успехом могу удалить ID сесси из куков.

@Vopro · 15.04.2010, 17:43 **[ТС]**

Просто я где-то слышал, что какие-то способы, которые юзер не может обойти слишком легко, имеются...вот только там ничего выяснить не удалось

В общем, буду благодарен всем, кто будет писать свои мысли.

Vovan-VE · 15.04.2010, 18:00

Хорошо, вот вариант. Запоминать несколько критериев: кукисы, ID сессия, IP, User-Agent, разрешение-экрана через JS, еще что-нибудь. Чем больше критериев совпадает, тем сами решайте, что делать.

@Vopro · 15.04.2010, 22:15 **[ТС]**

Отличная идея - запоминать "что-нибудь" джиэсом. То, что надо!

@motakuji · 19.04.2010, 14:45

Я просто блочил IP на 5 минут после 5 неверных совпадений логина и пароля.

@SunDrop · 20.04.2010, 03:54

Удалив кукис (в том числе и сесионный) можно повторить попытку авторизации.
Наиболее правильно хранить в базе данных логин + браузер + ip (вряд ли люди будут логиниться под разными логинами). Каждую попытку авторизации хранить в базе (тут удалить записи с клиента не получиться). Чистить базу можно по крону. Как только число попыток привысит допустимое количество блокируем логин (или логин + ip), (самый жесткий вариант просто блокировка по ip).

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

@Vopro 0 / 0 / 0 Регистрация: 15.04.2010 Сообщений: 3

	Ограничение количества попыток авторизации 15.04.2010, 03:58. Показов 7639. Ответов 6 Метки нет (Все метки) Здравствуйте! Искал везде исчерпывающую инфу, но так и не удалось найти нужный ответ. Итак, сам вопрос: как ограничить количество попыток авторизоваться (скажем, на форуме)? При этом кукисы не катят по известной причине. Сессии, насколько я понял, не катят тоже, так как браузер можно закрыть нафик. Или все же есть какой-то вариант с ними? Можно ли их запомнить(в базе, скажем) так, чтобы они не сдохли? Вариант с блоком на количество проверок подбора пароля для какого-то конкретного логина тоже не нравится - хочется все же универсальности. Вариант с блоком айпи, видимо, тоже не выход, так как банить подсеть, где сидит 1000 человек, было бы не слишком рационально. Заранее спасибо! 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	15.04.2010, 17:06
	Сессия - самый преемлемый вариант. Сессия хранит свой ID в кукисах. Срок сранение этой куки настраивается через session_set_cookie_params(). Настройте - и не будет теряться при закрытии браузера. Если все равно теряется, значит неправильно запускаете сессию. Добавлено через 40 секунд Хотя я с тем же успехом могу удалить ID сесси из куков. 0

@Vopro 0 / 0 / 0 Регистрация: 15.04.2010 Сообщений: 3
	15.04.2010, 17:43 [ТС]
	Просто я где-то слышал, что какие-то способы, которые юзер не может обойти слишком легко, имеются...вот только там ничего выяснить не удалось В общем, буду благодарен всем, кто будет писать свои мысли. 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	15.04.2010, 18:00
	Хорошо, вот вариант. Запоминать несколько критериев: кукисы, ID сессия, IP, User-Agent, разрешение-экрана через JS, еще что-нибудь. Чем больше критериев совпадает, тем сами решайте, что делать. 1

@Vopro 0 / 0 / 0 Регистрация: 15.04.2010 Сообщений: 3
	15.04.2010, 22:15 [ТС]
	Отличная идея - запоминать "что-нибудь" джиэсом. То, что надо! 0

@motakuji Программист 107 / 111 / 9 Регистрация: 27.09.2009 Сообщений: 331
	19.04.2010, 14:45
	Я просто блочил IP на 5 минут после 5 неверных совпадений логина и пароля. 0

@SunDrop 390 / 229 / 11 Регистрация: 09.12.2009 Сообщений: 668
	20.04.2010, 03:54
	Удалив кукис (в том числе и сесионный) можно повторить попытку авторизации. Наиболее правильно хранить в базе данных логин + браузер + ip (вряд ли люди будут логиниться под разными логинами). Каждую попытку авторизации хранить в базе (тут удалить записи с клиента не получиться). Чистить базу можно по крону. Как только число попыток привысит допустимое количество блокируем логин (или логин + ip), (самый жесткий вариант просто блокировка по ip). 1