前提
因为Spring Security没有对登录接口的错误次数做限制,所以登录接口可以被频繁访问。因为内部具体是通过UsernamePasswordAuthenticationFilter.java来实现登录逻辑的,所以每一次的登录请求其实都请求了数据库。故提出登录次数限制错10次以上则3分钟之内不允许登录。
分析
1 Spring Security允许自定义filter并将filter插入到Spring Security的过滤器链中且可插入指定的某个过滤器前面或者后面。
2 将错误次数以及多长时间不允许登录配置化,次数小/大,时间长/短,根据需求变更配置即可。
3 在登录之前需要判断是否已经超出配置的错误次数,那么过滤器需要在UsernamePasswordAuthenticationFilter之前;如果登录失败则将错误次数加1,这个需要在认证失败的handler中进行处理.
4 使用redis来缓存错误次数,用ip作为key,次数作为value,利用其有过期策略会自动删除key来实现。
实现
配置文件
login.errcount=3
login.time=600
自定义filter
@Component
public class CustomLoginCountFilter extends GenericFilterBean {
private final static Logger logger = LoggerFactory.getLogger(CustomLoginCountFilter.class);
@Autowired
@Lazy
private RedisTemplate<String, Object> redisTemplate;
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
String requestURL = ((HttpServletRequest) request).getServletPath();
String method = ((HttpServletRequest) request).getMethod();
String remoteAddr = request.getRemoteAddr();
Integer remotePort = request.getRemotePort();
if (!(