【发布时间】:2020-04-27 01:37:15
【问题描述】:
我们正在使用 Spring Boot 框架和码头服务器开发一个 REST 应用程序。
我们希望防止来自流氓客户端的应用在没有适当身份验证详细信息的情况下不间断地连续攻击。
我们想要的是:如果没有正确凭据的客户端尝试访问应用程序,spring security 将确定身份验证状态。如果身份验证失败,spring boot 或 jetty 应该关闭 HTTP 连接。
所以客户端下次发送请求时,又要经过TCP握手的过程。它应该不能在同一个连接中连续命中应用程序。
但我无法在码头或弹簧靴中找到此类属性。 任何人都可以说明如何实现这一点,或者这是否是有效的要求。
【问题讨论】:
-
如何与您的 Spring Boot 应用程序建立连接?它是带有移动或 Javascript 客户端的 REST API?还是您在使用服务器端 HTML 模板的会话登录?
-
rest api 与任何客户端。它可以是邮递员或自定义客户端。不支持会话。
-
它应该不能在同一个连接中连续点击应用程序。 -> 你可能也想在谷歌上搜索“spring boot rate limits”。
-
我找不到任何具体的东西,Spring Boot 框架有助于限制速率。能给个链接吗?
-
没有开箱即用的支持,所以我不能给你一个直接的链接,但似乎有一些库可以做到这一点,因此向谷歌提示。不幸的是,我没有任何图书馆的经验。
标签: java spring spring-boot http denial-of-service