Как заблокировать попытки входа в систему с помощью SQL

Question

Я не хочу, чтобы сервер был принудительным, но я не хочу использовать CAPTCHA, поскольку они не являются дружественными к пользователю/Я не хочу полагаться на другую компанию - потому что я не собираюсь реализовывать свою собственную систему captcha.

Я думал о создании attempts таблицы с этой структурой:

________________________________________________________________ 
|   IP   |  ATTEMPTS  |  LOCK  | 
|‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾| 
|  1.1.1.1  |   0   |   2   | 
|  ....  |  ....  |  ....  | 
‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾   Yes I had fun making this 

И пусть пользователь имеет 5-10 попыток, перед сбросом в 0 и увеличение блокировки времени на коэффициент 2 - это за несколько минут.

Является ли это хорошим методом блокировки грубой силы?

Я бы логику, как это на моем сервере: - абстрагироваться

.... 
* on request to server do below * 

db.query("SELECT * FROM attempts WHERE IP= *REQUEST.IP* ",function(result){ 
    if (result.rows.length > 0 && result.rows[0].attempts > 5) { 
     if (CheckIfExpired(results.rows[0].lock)) { 
      if (loginFail) MultplyLockBy2(); 
      else RemoveFromAttemptsTable(); 
     } else res.status("403").send("You're locked out"); 
    } else normalLoginAttempt().ifFal(add1toAttempts()); 
.... 

У меня есть ощущение, что есть более эффективный способ сделать это изначально в SQL, я новичок в SQL. (Я использую postgresql).

Посмотрев на это, я предполагаю, что мне понадобится поле для начала, поэтому я могу рассчитать, когда истек срок блокировки.

ASP.net + Njinx/Apache + сессий + ...! = Node.js + SQL

Answer 1

Используйте fail2ban. Ваш HTTP-запрос должен возвращать 401 (неавторизованный), а фильтр fail2ban должен соответствовать access_log для последовательного 401 и запретить вызывающему абоненту в течение 10 минут или около того (на уровне IP-брандмауэра).

Как вы заметили, ответ не имеет ничего общего с SQL, postgresql или nodejs.