Как заблокировать юзера по ip?

Question

[Denis1111]

Как сделать так, чтобы когда пользователь пытался войти в аккаунт 3 раза(пытался подобрать пароль), то сервер заблокировал его по ип на несколько дней. Писать код ненужно. Просто какую проверку и ставить и что делать

Comments

[alex-1917]

Тут писать дольше, а по сути всего три предложения. Сам ищи давай, вообще обленились уже...

[dollar]

В базе сделать таблицу неудачных попыток: юзер-время-ip.
Далее перед каждым вводом пароля делать выборку из этой таблицы за последние 3 дня, поиск по связке юзер-ip. Если записей 3+, то запрещать вход (вообще не проверять правильность пароля или даже не предлагать ввести).
При неудачной попытке ввода пароля, добавлять запись в эту таблицу.
Периодически (раз в год) ее можно чистить по крону.

Answer 1

[Dimonchik]

access deny all

Answer 2

[Кирилл Кудрявцев]

Как из вариантов, например можно сохранить in-Memory бд ip пользователя с которого пришел запрос, так как нужно будет проверять каждое соединение.
Так как вы пишите на express'e то скорее всего вы будете/используете NGINX, то эффиктивнее можно будет использовать соебразный blacklist в нём.

# /usr/local/nginx/conf/some.conf
include blacklist.conf;

# /usr/local/nginx/conf/blacklist.conf
location / {
  # ip's
  deny    8.8.8.8;
}