security - 保护 .NET Core MVC 网站免受暴力登录尝试（通过内置方式）

几个月后以新的眼光回到这个问题，发现微软的一篇帖子，其中包括用于防止暴力攻击的帐户锁定，这将是一个安全层，虽然不像旧的 MVC5AllowXRequestsEveryXSecondsAttribute启用的那样提供全面的保护。

它会阻止针对一封电子邮件的多次尝试，但不会阻止针对多封电子邮件的多次尝试。

即它会阻止某人做

• 用户名：user1@test.com，密码：Password121
• 用户名：user1@test.com，密码：Password122
• 用户名：user1@test.com，密码：Password123

但这不会阻止某人这样做：

• 用户名：user1@test.com，密码：Password123
• 用户名：user2@test.com，密码：Password123
• 用户名：user3@test.com，密码：Password123

这是来自 Microsoft 的代码摘录（它们是关键options.Lockout部分）：

public void ConfigureServices(IServiceCollection services)
{
    // Add framework services.
    services.AddDbContext<ApplicationDbContext>(options =>
        options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection")));

    services.AddIdentity<ApplicationUser, IdentityRole>()
        .AddEntityFrameworkStores<ApplicationDbContext>()
        .AddDefaultTokenProviders();

    services.AddMvc();

    services.Configure<IdentityOptions>(options =>
    {
        options.Lockout.MaxFailedAccessAttempts = 10;
        options.Lockout.DefaultLockoutTimeSpan = TimeSpan.FromMinutes(10);
    });

    // Add application services.
    services.AddTransient<IEmailSender, AuthMessageSender>();
    services.AddTransient<ISmsSender, AuthMessageSender>();
    services.Configure<SMSoptions>(Configuration);
}

更新（与核心团队讨论后）

我在 Github 上向 .NET Core 团队提出了这个问题。

AllowXRequestsEveryXSecondsAttributeOWasp 检查表中提到的属性来自外部库，他们认为可以将其转换为 .NET Core，但他们并不认为将某些内容作为框架的一部分包含在内是优先事项。他们的建议是研究 Azure 解决方案“AAD 或 B2C”或“Auth0”。