如何避免用户不断尝试使用Ruby on Rails登录？

Question

我想创建一个登录页面，它可以很容易地实现使用Ruby on Rails。但是登录非常简单，但我想要更多的安全性。

我想阻止用户继续尝试密码。因此，我对此有一些想法。

首先，如果用户持续尝试密码15分钟，则停止登录功能。

用户在15分钟内登录失败5次后，系统应禁止该用户在接下来的15分钟内再次登录，只要其密码正确即可。

其次，在用户尝试了5次之后，我想添加一个人工验证。在用户等待15分钟登录后，我想向用户添加一个添加验证。我希望用户单击密码和验证码图像。如果其中一个失败了，他们仍然不能登录系统。他/她有5次尝试，如果他/她再次失败，他/她需要再尝试15分钟。

第三，在用户尝试了15次之后，仍然无法进入系统。我想锁定用户帐户，用户将收到一封电子邮件，其中包含再次分配密码的链接。

因此，问题是“有没有可以轻松实现这种授权的库？”我知道它可以用代码来实现，但是使用库要方便得多。另外，我想问一下有没有什么安全建议？谢谢你。

Answer 1

以下是常用的认证gem/plugin。至于你的需求，我认为你应该创建你的控制器/模型，或者调整这些插件的生成代码。

Rails-身份验证：http://github.com/technoweenie/restful-authentication

设计：http://github.com/plataformatec/devise