蛮力检测-钥匙斗篷

我们开始在新项目设计中使用Keycloak作为身份和访问管理，并为我新创建的Realm启用了蛮力检测。

它可以正常工作，但是在我的用例中，我必须通知我的用户，由于他们已达到“最大登录失败次数”，因此必须再等待30分钟才能再次尝试登录。但是，每次达到最大失败次数后，只要尝试使用错误/正确的密码，我都会收到“ invalid_grant”错误相同的消息。

{ “错误”：“ invalid_grant”， “ error_description”：“无效的用户凭据” }

如何更改响应消息以通知我的用户？

您需要使用自定义的Direct Grant Authenticator实现。从这里开始：

但是在开始定制之前，我建议您彻底分析您的需求。回应“帐户已锁定”至少可以为我提供我已经成功猜出用户名的信息，现在我可以继续攻击指定的帐户了。从我的角度来看，最好是异步通知（例如通过电子邮件或SMS）用户有关其帐户可能受到BF攻击的方式。