چگونه بستر عضویت تلاشهای ورود نامعتبر را اداره می کند؟

وقتی که یک کاربر وارد صفحه ورود می شود و اعتبارنامه خود را وارد می کند، مرورگر یک درخواست HTTP برای صفحه ورود ایجاد می کند. اگر اعتبارنامه معتبر باشد، HTTP در پاسخ یک بلیط اعتبارسنجی داخل یک کوکی ارسال می کند. بنابراین، یک هکر که تلاش می کند وارد سایت شما شود، می تواند یک برنامه ایجاد کند که یک درخواست HTTP همراه با یک نام کاربری معتبر به صفحه ورود ارسال کرده و گذرواژه را حدس بزند. اگر گذرواژه حدسی صحیح باشد، صفحه ورود یک کوکی بلیط اعتبارسنجی برمی گرداند.

برای جلوگیری از این حملات (که در آن یک نام کاربری با تعداد زیادی گذرواژه تست می شوند) بستر عضویت کاربری که تعداد مشخصی ورود ناموفق داشته باشد را قفل می کند. بدین منظور دو پارامتر زیر در تنظیمات پیکربندی بستر عضویت وجود دارند:

·         maxInvalidPasswordAttempts: تعداد مرتبه وارد کردن گذرواژه نامعتبر برای یک کاربر را مشخص می کند. اگر از این تعداد بیشتر شود، کاربر قفل می گردد. مقدار پیش فرض این پارامتر 5 است.

·         passwordAttemptWinddows: بازه زمانی (دقیقه) را مشخص می کند که در خلال آن  چند بار کاربر می تواند ورود ناموفق داشته باشد. مقدار پیش فرض آن 10 است.

اگر یک کاربر قفل گردد، تا زمانی که مدیر آن را باز نکند، نمی تواند وارد سایت شود. وقتی که یک کاربر قفل گردیده است، متد ValidateUser همیشه مقدار false را برمی گرداند.

متاسفانه، ابزار داخلی برای باز کردن کاربر وجود ندارد. برای باز کردن یک حساب، می توانید مستقیم وارد پایگاه داده شده و فیلد IsLockedOut در جدول aspnet_Membership را تغییر دهید و یا با ایجاد یک رابط کاربری که حساب های قفل شده را نمایش دهد و امکان باز کردن آنها را داشته باشد، این کار انجام دهید. در مباحث آینده یک رابط کاربری برای مدیریت ایجاد می کنیم که بتوان کاربرها و نقش ها را مدیریت کرد.