Spring项目使用Redis限制用户登录失败的次数以及暂时锁定用户登录权限

最新推荐文章于 2024-02-18 19:16:42 发布
置顶 最新推荐文章于 2024-02-18 19:16:42 发布
阅读量2k 收藏 7
点赞数 3
分类专栏: SpringBoot Java Redis 文章标签: spring redis 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zygood_/article/details/132338641
版权
Java 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
SpringBoot
7 篇文章 0 订阅
订阅专栏
Redis
3 篇文章 0 订阅
订阅专栏

文章目录

背景

前两天被面试到这个问题,最初回答的不是很合理,登录次数这方面记录还一直往数据库上面想,后来感觉在数据库中加一个登录日志表,来查询一段时间内用户登录的次数,现在看来,自己还是太年轻了,做个登录限制肯定是为了防止数据库高并发,加一个表来记录登录日志,这就把请求都打到数据库了,后来看了前辈们的解决方案,可以用Redis来实现,包括登录次数和账号锁定,我最开始在回答这个问题的时候只回答到了账号锁定用Redis做管理,前者登录次数回答的比较差劲,后来我也及时复盘了这次面试,就标题的内容做出基本实现

环境

Java8、MySQL8、Redis、IDEA,环境支持的同学可以参考这份代码实现以下

代码实现

0. 项目结构图(供参考)

在这里插入图片描述

1. 数据库中的表(供参考)

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for login_demo_user
-- ----------------------------
DROP TABLE IF EXISTS `login_demo_user`;
CREATE TABLE `login_demo_user`  (
  `id` bigint NOT NULL COMMENT '主键',
  `username` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL COMMENT '用户名',
  `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '密码',
  PRIMARY KEY (`id`, `username`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of login_demo_user
-- ----------------------------
INSERT INTO `login_demo_user` VALUES (1, 'hh', 'hh');

SET FOREIGN_KEY_CHECKS = 1;

2. 依赖(pom.xml)

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.1.RELEASE</version>
        <relativePath/>
    </parent>
    
    <groupId>com.openallzzz</groupId>
    <artifactId>logindemo</artifactId>
    <version>0.0.1-SNAPSHOT</version>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.1</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.20</version>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

3. 配置文件(application.yml)

server:
  port: 8080

spring:
  profiles:
    active: dev
  main:
    allow-circular-references: true
  datasource:
    druid:
      driver-class-name: ${datasource.driver-class-name}
      url: jdbc:mysql://${datasource.host}:${datasource.port}/${datasource.database}?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertToNull&useSSL=false&allowPublicKeyRetrieval=true
      username: ${datasource.username}
      password: ${datasource.password}
  redis:
    host: ${redis.host}
    port: ${redis.port}
    database: ${redis.database}

mybatis:
  #mapper配置文件
  mapper-locations: classpath:mapper/*.xml
  type-aliases-package: com.openallzzz.logindemo.entity
  configuration:
    #开启驼峰命名
    map-underscore-to-camel-case: true

logging:
  level:
    com:
      openallzzz:
        mapper: debug
        service: info
        controller: info

4. 配置文件(application-dev.yml)

datasource:
  driver-class-name: com.mysql.cj.jdbc.Driver
  host: localhost
  port: 3306
  database: testdb
  username: root
  password: root
redis:
  host: localhost
  port: 6379
  database: 1

5. UserLoginDTO

package com.openallzzz.logindemo.dto;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserLoginDTO {

    private String username;
    private String password;

}

6. DemoConstant

package com.openallzzz.logindemo.constant;

public class DemoConstant {

    // 每分钟限制登录的最大次数
    public static final int MAX_LOGIN_TIMRS_PER_MINUTE = 5;
}

7. User(后来才用的lombok,没有统一写法)

package com.openallzzz.logindemo.entity;

public class User {

    private Long id;
    private String username;
    private String password;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

8. UserMapper

package com.openallzzz.logindemo.mapper;

import com.openallzzz.logindemo.entity.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

@Mapper
public interface UserMapper {

    @Select("select id, username, password from login_demo_user where username = #{username}")
    User selectByUsername(String username);

}

9. UserService(供参考)

package com.openallzzz.logindemo.service;

import com.openallzzz.logindemo.constant.DemoConstant;
import com.openallzzz.logindemo.dto.UserLoginDTO;
import com.openallzzz.logindemo.entity.User;
import com.openallzzz.logindemo.mapper.UserMapper;
import com.openallzzz.logindemo.result.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;

import java.util.concurrent.TimeUnit;

@Service
@Slf4j
public class UserService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private RedisTemplate redisTemplate;

    public Result<String> login(UserLoginDTO userLoginDTO) {
        if (userLoginDTO == null || userLoginDTO.getUsername() == null || userLoginDTO.getPassword() == null) {
            return Result.error("用户信息不完整!");
        }

        String username = userLoginDTO.getUsername();
        String password = userLoginDTO.getPassword();

        boolean lockStatus = getLockStatus(username);
        if (lockStatus) {
            return Result.error("失败次数过多,请稍后重试");
        }

        User user = userMapper.selectByUsername(username);

        if (user.getPassword().equals(password)) {
            clearLastCount(username);
            clearLockStatus(username);
            return Result.success();
        } else {
            int lastCount = getLastCount(username);
            if (lastCount + 1 == DemoConstant.MAX_LOGIN_TIMRS_PER_MINUTE) {
                setLockStatus(username);
                return Result.error("失败次数过多,请稍后重试");
            } else {
                setLastCount(username);
                return Result.error("登录失败,请检查用户名或密码,再重试");
            }
        }
    }

    private void clearLockStatus(String username) {
        log.info("清除用户锁定状态:{}", username);
        String key = "Lock" + ":" + username;
        redisTemplate.delete(key);
    }

    private void clearLastCount(String username) {
        log.info("将用户登录次数还原:{}", username);
        String key = "Count" + ":" + username;
        redisTemplate.delete(key);
    }

    private int getLastCount(String username) {
        log.info("获取用户一分钟内已经失败登录了多少次:{}", username);
        String key = "Count" + ":" + username;
        Integer count = (Integer) redisTemplate.opsForValue().get(key);
        return count == null ? 0 : count;
    }

    private void setLastCount(String username) {
        log.info("设置用户一分钟内已经失败登录了多少次:{}", username);
        String key = "Count" + ":" + username;
        redisTemplate.opsForValue().set(key, getLastCount(username) + 1, 1, TimeUnit.MINUTES);
    }

    private void setLockStatus(String username) {
        log.info("锁定用户,限制其登录:{}", username);
        String key = "Lock" + ":" + username;
        redisTemplate.opsForValue().set(key, "lock", 2, TimeUnit.HOURS);
    }

    private boolean getLockStatus(String username) {
        log.info("获取用户是否被限制其登录:{}", username);
        String key = "Lock" + ":" + username;
        String o = (String) redisTemplate.opsForValue().get(key);
        if ("lock".equals(o)) return true;
        return false;
    }

}

10. UserController

package com.openallzzz.logindemo.controller;

import com.openallzzz.logindemo.dto.UserLoginDTO;
import com.openallzzz.logindemo.result.Result;
import com.openallzzz.logindemo.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user")
@Slf4j
public class UserController {

    @Autowired
    private UserService userService;

    @PostMapping("/login")
    public Result<String> login(@RequestBody UserLoginDTO userLoginDTO) {
        log.info("用户登录:{}", userLoginDTO);
        return userService.login(userLoginDTO);
    }

}

11. RedisConfig

package com.openallzzz.logindemo.config;

import com.fasterxml.jackson.annotation.JsonAutoDetect;
import com.fasterxml.jackson.annotation.PropertyAccessor;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.cache.annotation.EnableCaching;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.Jackson2JsonRedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;

@Configuration
@EnableCaching
public class RedisConfig {

    @Bean(name = "redisTemplate")
    public RedisTemplate<String,Object> redisTemplate(RedisConnectionFactory factory){
        RedisTemplate<String,Object> template = new RedisTemplate<>();
        //配置连接工厂
        template.setConnectionFactory(factory);
        //使用jackson序列化和反序列value的值,
        Jackson2JsonRedisSerializer jacksonSerializer = new Jackson2JsonRedisSerializer(Object.class);
        ObjectMapper mapper = new ObjectMapper();
        //指定需要序列化的范围,All表示field、get和set,以及修饰符范围,ANY表示所有范围,包括private
        mapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        jacksonSerializer.setObjectMapper(mapper);
        //设置template中value使用Jackson2JsonRedisSerializer序列化
        template.setValueSerializer(jacksonSerializer);
        //设置template中key使用StringRedisSerializer序列化
        template.setKeySerializer(new StringRedisSerializer());
        //这是hash中key和value的序列化方式,key采用StringRedisSerializer,value采用Jackson2JsonRedisSerializer
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(jacksonSerializer);
        //使template属性生效
        template.afterPropertiesSet();
        return template;
    }
}

12. 统一返回结果

package com.openallzzz.logindemo.result;

import lombok.Data;

import java.io.Serializable;

/**
 * 后端统一返回结果
 * @param <T>
 */
@Data
public class Result<T> implements Serializable {

    private Integer code; //编码:1成功,0和其它数字为失败
    private String msg; //错误信息
    private T data; //数据

    public static <T> Result<T> success() {
        Result<T> result = new Result<T>();
        result.code = 1;
        return result;
    }

    public static <T> Result<T> success(T object) {
        Result<T> result = new Result<T>();
        result.data = object;
        result.code = 1;
        return result;
    }

    public static <T> Result<T> error(String msg) {
        Result result = new Result();
        result.msg = msg;
        result.code = 0;
        return result;
    }

}

13. 启动类LoginDemoApplication

package com.openallzzz.logindemo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class LoginDemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(LoginDemoApplication.class, args);
    }

}

测试登录接口(一分钟内五次密码全错,触发账号锁定登录权限)

第一次测试(300ms)

在这里插入图片描述

第二次测试(32ms)

在这里插入图片描述

第三次测试(22ms)

在这里插入图片描述

第四次测试(12ms)

在这里插入图片描述

第五次测试(8ms)

在这里插入图片描述

总结

登录业务预先判断了该账号是否被锁定,如果短期内有大量登录请求(用户不断试错、被恶意攻击),压力只会给到Redis,从而避免DB被大量请求打中。

openallzzz
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring、Java、redis、zk、MySQL等面试题总结
05-02
5. Spring Boot:Spring Boot简化了Spring应用的初始搭建以及开发过程,它默认配置了很多常见功能,如嵌入式Web服务器、数据源、缓存等。 6. Spring Data JPA:用于简化数据库访问,支持JPA规范,提供了一种统一的...
ssm+shiro+redis项目分享
04-01
SSM+Shiro+Redis项目分享是一个典型的Java Web开发示例,主要涵盖了SpringSpring MVC、MyBatis(SSM)三大框架与Apache Shiro安全框架的整合,并结合Redis内存数据库实现高效的缓存管理和用户登录的安全控制。...
SpringBoot整合Redis实现登录失败锁定功能
最新发布
weixin_67589420的博客
02-18 1814
在现代的软件开发中,安全性和用户体验是至关重要的方面。特别是在身份验证和授权方面,保护用户账户免受恶意访问是至关重要的。一种常见的安全措施是通过限制登录失败的尝试次数来防止暴力破解攻击。这意味着如果用户连续多次输入错误的凭据,系统将暂时禁止其登录,以防止进一步的尝试。在本博客中,我们将探讨如何利用Redis来实现这样的安全措施。具体来说,我们将学习如何在用户连续多次登录失败后,暂时将其账户锁定一段时间(例如一分钟),以确保系统的安全性和用户体验。
Redis实现统计登录失败次数限制登陆
weixin_52342654的博客
05-10 1075
利用redis实现登录校验功能
Redis实现登录限制
qq_71695227的博客
05-10 458
Redis 登录 限制 3 次后 多少秒后才能登录
SpringBoot+Redis如何实现用户输入错误密码后限制登录(含源码)
a342874650的专栏
01-31 743
在当今的网络环境中,保障用户账户的安全性是非常重要的。为了防止暴力破解和恶意攻击,我们需要在用户尝试登录失败一定次数限制登录。这不仅可以保护用户的账户安全,还可以减轻服务器的压力。在本文中,我们将使用Spring Boot和Redis来实现这个功能。
java巧用redis,三分钟内登录失败5次,锁定账户5分钟
ITLYL的博客
11-11 3512
java巧用redis,三分钟内登录失败5次,锁定账户5分钟
redis 实现 登录次数限制
qq_41908919的博客
11-22 2114
概述 有这样一个需求:登录应当校验它的用户名和密码,密码输入错误不能过多,超过5次就应当限制它的登录,给它一个不能登录的提示,用redis来做 思路是 使用redis记录访问登录次数的值,先设定好初始值,每次访问自增,达到某限定值后,进行阻止 方案 @Autowired private RedisTemplate redisTemplate; @Autowired private IWeiboUserInfoService weiboUserInfoService; ...
Spring Security实现多次登录失败后账户锁定功能
08-25
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
springboot shiro 权限管理 spring boot
11-13
7. **错误与异常处理**:在 Shiro 的认证或授权失败时,需要正确处理并返回合适的错误信息,例如未登录、无权限、账户锁定等。 8. **测试与调试**:项目中可能包含了单元测试和集成测试,用于验证 Shiro 的配置和...
shiro开发文档以及案例代码
05-30
Shiro提供了一套接口和类来处理凭证匹配、账户锁定等机制,如`Subject`、`Realm`和`CredentialsMatcher`。 2. **授权(Authorization)**:也称为权限控制,用于决定用户是否可以访问特定的资源。Shiro通过角色...
Java redis 暴力破解漏洞 简单限制用户登录
zhongzih的博客
05-29 311
处理方案 redis 设置对应的缓存有效期为60秒。然后每次登录的时候查询登录失败次数。超过5次不查询数据库,直接返回报错。漏洞名称:暴力破解漏洞。
【架构设计】SpringBoot中使用Redis限制登录失败次数
秋装什么的博客
03-21 842
【架构设计】SpringBoot中使用Redis限制登录失败次数
JAVA实现用户登录错误N次后,账户暂时锁定
洛阳泰山的博客
12-01 5039
本次要实现的需求是,用户登录错误,输入密码错误N次后,实现用户锁定,让用户等待一段时间后重新登录,目的是为了防止黑客暴力破解用户密码。
用户输入错误验证码错误三次后,锁定该用户3分钟 redis 使用案列
WaifeYang的博客
12-24 1330
一 用户输入错误验证码错误三次后,锁定该用户3分钟redis使用案列 @PostMapping("login") public String login(String tel,String code){ // 判断手机号 Boolean b = redisTemplate.hasKey(tel); // 固定常量 String count="_LOGIN_COUNT"; String user_lock=...
SpringBoot+Redis实现账号锁定功能
nov4th的博客
12-30 2177
1、加入需要用到的包 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <ver...
Spring Security限制登录尝试示例
allway2的博客
11-06 2333
通过这个 Spring 安全性教程,我将指导您如何通过实现限制登录尝试功能来加强 Spring Boot 应用程序的安全性,该功能可防止暴力猜测可能被黑客利用的密码。您将学习如何使用以下策略实现限制登录尝试次数功能:假设您正在开发一个基于 Spring Boot 的 Java Web 应用程序,并且已经使用 Spring 安全性和 MySQL 数据库(存储用户信息)实现了身份验证。作为通用标准,Thymeleaf用作模板引擎,Spring Data JPA和Hibernate用于数据访问层,HTML 5和B
Redis 在java中的使用登录验证,5分钟内连续输错3次密码,锁住帐号,半小时后解封)
ITLYL的博客
11-11 1243
Redis 在java中的使用登录验证,5分钟内连续输错3次密码,锁住帐号,半小时后解封)
使用Spring Security和Redis实现用户登录以及权限控制,介绍下细节
05-21
使用Spring Security和Redis实现用户登录以及权限控制可以考虑以下细节: 1. 用户登录验证:Spring Security提供了多种方式进行用户身份验证,可以选择基于表单登录、基于HTTP Basic认证、基于OAuth2等方式。在基于表单登录的方式中,可以通过实现UserDetailsService接口加载用户信息,或者使用自定义的AuthenticationProvider实现身份验证逻辑。在验证成功后,可以生成并返回JWT token作为用户的凭证。 2. JWT token管理:使用Redis进行JWT token的管理可以考虑将token作为key,用户信息作为value存储在Redis中。在token失效之前,可以通过Redis中的key检查token是否有效,或者通过设置token的过期时间来管理token的有效期。 3. 权限控制:Spring Security提供了基于角色的权限控制和基于资源的权限控制两种方式。可以通过自定义AccessDecisionManager实现权限决策逻辑,或者通过使用注解@EnableGlobalMethodSecurity实现方法级别的权限控制。 4. CSRF保护:Spring Security提供了基于Cookie和基于Header的CSRF保护方式。可以通过在前端页面中添加隐藏的_csrf字段和在后端配置CsrfTokenRepository实现CSRF保护。 5. 安全配置:可以通过配置WebSecurityConfigurerAdapter和HttpSecurity实现对登录、注销、记住我等安全相关的行为进行定制。 以上是使用Spring Security和Redis实现用户登录以及权限控制的一些细节,需要根据具体的需求进行定制化实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值