跳到主要内容

标识符锁定

标识符锁定策略允许你自定义自己的哨兵策略设置,以防止暴力破解访问。该策略通过监控每个标识符(如用户名或电子邮件地址)的认证 (Authentication) 尝试,并在检测到可疑活动时实施限制。如果用户超过允许的认证 (Authentication) 失败次数,系统会暂时锁定该标识符,在指定时间内阻止进一步的认证 (Authentication) 尝试。这有助于缓解暴力破解攻击并提升整体账户安全性。

策略应用场景

  • 标识符登录:密码和验证码
  • 标识符注册:邮箱 / 手机验证码
  • 重置密码:邮箱 / 手机验证码

策略设置

默认情况下,标识符在 1 小时内认证 (Authentication) 失败 100 次后会被锁定 60 分钟。

如需自定义策略设置或手动解锁已验证用户,请前往 控制台 > 安全 > 通用 并启用“自定义锁定体验”。

可配置以下设置:

  1. 最大失败尝试次数

    • 限制每个标识符每小时连续认证 (Authentication) 失败的次数。如果超过限制,该标识符将被暂时锁定。
    • 默认值:100

  2. 锁定时长(分钟)

    • 超过最大失败次数后,在指定时间内阻止该标识符的所有认证 (Authentication) 尝试。
    • 默认值:60 分钟

  3. 手动解锁

    • 管理员可以通过提供需要解除锁定的标识符列表,手动解锁用户。所提供的标识符必须与被锁定的标识符完全匹配。

锁定 Webhook

当标识符因超过最大失败尝试次数而被锁定时,Logto 会触发 Identifier.Lockout Webhook 事件,从而实现对可疑账户活动的自动响应。

常见用例:

  • 向你的团队发送安全警报以便立即审查
  • 通过短信或推送通知告知用户锁定情况,并提供恢复说明

前往 控制台 > Webhook 配置你的 Webhook。有关详细的事件结构和配置,请参阅 Webhook