FineBI伺服器版本
App 版本
6.0
11.0
如果沒有開啟簡訊驗證的話是不限制登入失敗次數的,可以透過遍歷的方法來進行暴力破解,對平台的安全性有很大的影響。
增加登入防暴力破解手段是提升產品安全性的一項重要措施。
開啟登入鎖定設定,即可防止暴力破解。
注:該功能支援行動端。
管理者登入FineBI系統,點選「管理系統>系統管理>登入」,開啟登入鎖定。如下圖所示:
例如密碼錯誤 5 次,鎖定 60 分鐘,那麼在 60 分鐘內,密碼錯誤 5 次後,提示帳號鎖定。
1) PC 端效果如下圖所示:
2) App 效果如下圖所示:
注:建議使用 Nginx 反向代理的使用者選擇「帳號」作為鎖定物件,否則可能會導致所有使用者無法登入平台的問題,詳情請參考本文 3.1 節內容。
分為帳號和 IP
1)帳號:鎖定狀態下,普通帳號切換設備依然鎖定。當開啟鎖定管理者帳號時,管理者帳號被鎖定後,切換設備也依然鎖定。
2)IP:鎖定狀態下,當前設備當前伺服器下,所有的帳號均鎖定。切換設備可以登入。
1)自動解鎖、手動解鎖
當有使用者被鎖定後,根據設定的鎖定時候,60 分鐘後會自動解鎖,也可以手動解鎖,點選解鎖的小圖示即可,如下圖所示:
2)透過忘記密碼修改密碼後解鎖
3)管理者關閉登入鎖定功能
問題描述:
使用者工程使用了 Nginx 代理,並設定了登入鎖定中的「IP鎖定」,當密碼錯誤次數超出限定次數時,登入鎖定,所有使用者都無法登入數據決策系統。
原因分析:
在有代理的情況下,使用者的登入請求是先到反向代理,反向代理再轉發到 FineReport工程。
所以工程獲取的 IP 位址為 Nginx 所在伺服器的 IP 位址,鎖定的 IP 位址也為 Nginx 所在伺服器的 IP 位址,導致後續所有使用者無法登入。
解決方案:
在 Nginx 中加入請求頭,用於攜帶使用者的真實 IP ,使得 FineReport 工程能夠獲取使用者的真實 IP 。
1)單層 Nginx 代理
編輯 nginx.conf 檔案,在 location 模組下增加以下配置,如下圖所示:
proxy_set_header X-Forwarded-For $remote_addr;
2)多層 Nginx 代理
在直接對外的 Nginx 代理伺服器上,編輯 nginx.conf 檔案,在 location 模組下增加以下配置,如下圖所示:
在內層的 Nginx 代理伺服器上,編輯 nginx.conf 檔案,在 location 模組下增加以下配置,如下圖所示:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉
反馈已提交
网络繁忙