有一个专用于登录的服务器有意义吗？

Question

由于登录过程本身包含一个昂贵的散列，它还使任何应用程序的这一部分都易受(D)DOS攻击。

将应用程序的登录部分放在自己的专用服务器上作为一道防线是个好主意，还是有类似的、成本较低的方法？

提前谢谢。

Answer 1

不，这不是个好主意。您可以依赖于每个IP和每个用户名登录尝试率限制，这是您已经实现的，以改善密码猜测攻击无论如何。

您已经实现了登录尝试速率限制，不是吗？

Answer 2

就像往常一样，这取决于。

理论上，登录进程是一个一次性事件，一旦建立了活动会话，通过身份验证的用户的实际使用模式才是真正决定服务器负载的因素。在这方面，即使计算被刻意选择为慢和昂贵的散列(如PBKDF2 )的计算成本也是最小的。

作为攻击点，您可以并且应该实现一些措施来对付暴力攻击，比如妇女被提及攻击。

将登录过程与应用程序分离是一种有效的软件设计选择，但并不是因为您提到的原因。这通常用于为(大量)不同应用程序创建单个登录，其中每个应用程序的身份验证逻辑可以简化为确认一个有效的会话，并且您不需要重复每个应用程序的登录策略、双重因素auth等。