Spring Security--自定义过滤器拦截多次错误登录,阻止登录

最新推荐文章于 2024-02-12 19:59:44 发布
VIP文章 最新推荐文章于 2024-02-12 19:59:44 发布
阅读量2.3k 收藏 7
点赞数
分类专栏: Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AnoiaDream/article/details/112689971
版权

前提

因为Spring Security没有对登录接口的错误次数做限制,所以登录接口可以被频繁访问。因为内部具体是通过UsernamePasswordAuthenticationFilter.java来实现登录逻辑的,所以每一次的登录请求其实都请求了数据库。故提出登录次数限制错10次以上则3分钟之内不允许登录。

分析

1 Spring Security允许自定义filter并将filter插入到Spring Security的过滤器链中且可插入指定的某个过滤器前面或者后面。
2 将错误次数以及多长时间不允许登录配置化,次数小/大,时间长/短,根据需求变更配置即可。
3 在登录之前需要判断是否已经超出配置的错误次数,那么过滤器需要在UsernamePasswordAuthenticationFilter之前;如果登录失败则将错误次数加1,这个需要在认证失败的handler中进行处理.
4 使用redis来缓存错误次数,用ip作为key,次数作为value,利用其有过期策略会自动删除key来实现。

实现

配置文件

login.errcount=3
login.time=600

自定义filter

@Component
public class CustomLoginCountFilter extends GenericFilterBean {
   
    private final static Logger logger = LoggerFactory.getLogger(CustomLoginCountFilter.class);
    @Autowired
    @Lazy
    private RedisTemplate<String, Object> redisTemplate;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
   
        String requestURL = ((HttpServletRequest) request).getServletPath();
        String method = ((HttpServletRequest) request).getMethod();
        String remoteAddr = request.getRemoteAddr();
        Integer remotePort = request.getRemotePort();

        if (!(
最低0.47元/天 解锁文章
春风吹又生
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Spring Security-3.0.1 中文官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行...
Spring Security:限制登录尝试次数示例
一名可爱的技术搬运工
05-25 1125
在本教程中,我们将向您展示如何在Spring Security中限制登录尝试,这意味着,如果用户尝试使用无效密码登录超过3次,系统将锁定该用户,使其无法再次登录。 使用的技术和工具: 春天3.2.8。发布 Spring Security 3.2.3发布 Spring JDBC 3.2.3.RELEASE Eclipse 4.2 JDK 1.6 Maven 3...
SpringSecurity学习笔记(三)自定义资源拦截规则以及登录界面跳转
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-03 1584
公共资源:可以随意访问认证访问:只有登录了之后的用户才能访问。授权访问:登录的用户必须具有响应的权限才能够访问。我们想要自定义认证逻辑,就需要创建一些原来不存在的bean,这个时候就可以使注解发现创建默认的实现类失效。测试环境搭建return "just a test,这个是公共资源!";return "访问受限资源!";}下面我们重写一个配置类去替换内部默认的配置类。
自定义认证授权过滤器-SpringSecurity
最新发布
weixin_46520767的博客
02-12 571
自定义认证授权过滤器
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 1107
spring-secrity的Filter顺序+自定义过滤器
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录
jiaoqi6132的博客
04-04 2277
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2104
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
安全管控-登录失败频次限制
冥王星开发
11-30 965
1. 在登录入口就进行判断,判断redis 中是否存在用户名的次数 String accountName = securityAccount.getAccountName(); String frequencys = "frequency"; String accountNameFrequency=accountName+frequencys; //获取redis中用户名称次数 Object osrt = redisTemplate...
SpringBoot整合springSecurity实现统一登录拦截
xiaoxiaosu2的博客
07-19 1674
以上,是定义的security的模块,可以作为一个maven项目的一个模块,当其它模块需要用到权限校验时,可以引入此依赖,然后实现SecurityConfig接口即可。springBoot整合security,实现统一登录拦截,首先,security是一个安全框架,主要用来鉴权、拦截、权限的一些校验,话不多说,直接上代码。源代码在百度网盘,点击。...
html 限制匿名访问,Spring Boot Security - 匿名用户访问默认映射/
weixin_35652867的博客
06-25 529
我们有基于Spring启动的应用程序,并且我们希望给予匿名用户的默认/映射访问权限。 我们添加了默认的index.html(基本页面)。Spring Boot Security - 匿名用户访问默认映射/在控制器@RequestMapping("/")public ModelAndView defaultViewManager(HttpServletRequest request) {logger...
spring security 登录、权限管理配置
08-13
3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, ...
Spring boot拦截器实现IP黑名单的完整步骤
08-19
主要给大家介绍了关于Spring boot拦截器实现IP黑名单的完整步骤,需要的朋友可以参考下
spring-boot-demo:Spring Boot和Spring Cloud和Spring Security演示案例(Spring学习示例实战项目)
01-29
SpringBoot + SpringCloud + SpringSecurity学习过程中的二进制汇总,沉淀记录下学习历程 1.知识点图谱 所有博文集中发布在个人博客网站: 大致规划的内容包括以下章节,希望能用半年到一年(严重超期)的时间完成....
spring_gateway_security_webflux.rar
07-24
1.本项目为SpringCloud ...2.由于Gateway采用的是纯Webflux方式,所以原有的Spring基于传统拦截器、过滤器的方式无法正常使用SpringSecurity。 3.因此,本项目根据WebFlux的方式,进行了整合,实现了登录和权限验证。
基于springBoot实现请求拦截功能
weixin_43288858的博客
08-26 4453
1、自定义一个过滤器 1、定义一个过滤器的类AuthenticationFilter 继承HandlerInterceptorAdapter 类 2、右键Generate->重写父类的方法preHandle(),如果返回false则不能访问,返回true则可以访问 3、定义令牌的请求头 //请求带上令牌,Authorization:Bearer token final String header = request.getHeader("Authorization"); 4、判断请求头是否为
Shiro JWT shiro自定义filter实现前置拦截获取header中的token,并且放行登录和注册接口
Falser101的博客
09-06 1904
1.自定义filter @Slf4j public class ShiroFilter extends FormAuthenticationFilter { @Autowired(required = false) private RedisUtils redisUtils; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Objec
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
Spring Security 初识(四)--请求拦截
只有变秃 才能变强
12-29 2万+
Spring Security 初识(四)–请求拦截在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigure
SpringSecurity密码错误指定次数锁定用户---基于数据库实现
沧海一粟
07-04 2549
用户锁定数据库实现
springsecurity自定义过滤器中request参数为空是为什么
06-07
Spring Security 自定义过滤器中 request 参数为空可能是因为在请求到达自定义过滤器之前,请求的参数已经被其他过滤器拦截器处理了。如果前面的过滤器拦截器没有正确处理请求参数,可能会导致在自定义过滤器中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值