java实现用户登录异常统计、锁定及解锁功能

已于 2023-02-21 10:38:02 修改
阅读量3.3k 收藏 10
点赞数 3
分类专栏: java 文章标签: java redis 登录锁定
于 2022-01-21 15:57:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aw277866304/article/details/122623024
版权

写在前面

        现在很多互联网项目、app等都会有登录异常提醒、登录异常次数限制,基本都是5次异常后就会锁定一定时间的账户,让该账户无法进行登录操作。需要注册用户使用安全验证手段(如动态验证码等),解除锁定后才能进行新一轮登录操作。这么做无非就是两个目的:

1. 为了注册用户的账户安全;

2. 更多的是防止黑客攻击,维护网站等的安全。

项目需求

        项目开发结束,进入测试阶段,很多项目或者开发就进入到了边测试边修改bug的阶段了。不过,我们公司的项目还需要进行安全测试,对不符合要求的项目需要进行安全隐患的整改。这不,我就“被迫”的研究起了如何避免被无差别攻击,防止通过无限攻击次数、穷举等破解密码的手段了。

整体思路

1. 验证及提示

获取并验证账号登录异常信息,提示登录异常。代码片段如下

        // 验证账户是否封锁
        String usercode = userLoginDto.getUsercode();
        ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();
        // 如果这个账号登录异常,则在登录页面提醒。
        String shiroLoginCount = opsForValue.get(SHIRO_LOGIN_COUNT + usercode);
        if (!StringUtils.isEmpty(shiroLoginCount) && Integer.parseInt(shiroLoginCount) >= 10) {
            if ("LOCK".equals(opsForValue.get(SHIRO_IS_LOCK + usercode))) {
                // 计数大于10次,设置用户被锁定5分钟
                String msg = "由于输入错误次数大于10次,帐号5分钟内已经禁止登录!";
                log.info(msg);
                return PlatformResult.failure(msg);
            }
        }

2. 计数

用户的每次异常登录(其实就是密码错误)时,将账户及错误次数记录到redis中。代码片段如下

            // 登录失败计数
            opsForValue.increment(SHIRO_LOGIN_COUNT + usercode, 1); // 每次增加1
            log.info(usercode + ":账号登录异常次数:" + opsForValue.get(SHIRO_LOGIN_COUNT + usercode));

3. 检查及限制

检查累积阈值错误次数(本系统设置为10次)时,锁定该用户,并限制一定时间内(本系统设置为5分钟)无法进行登录操作。代码片段如下

            // 登录异常次数超限实现锁定
            if (Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT + usercode)) >= 10) {
                opsForValue.set(SHIRO_IS_LOCK + usercode, "LOCK"); // 锁住这个账号,值是LOCK。
                stringRedisTemplate.expire(SHIRO_IS_LOCK + usercode, 5, TimeUnit.MINUTES); // expire 变量存活期限
            }

4. 解锁及清空

在错误10次(可根据业务需要进行调整)前登录成功,则解锁该用户异常状态,清空登录错误次数和解锁账户。代码片段如下

    /**
     * 清空登录计数
     * 
     * @author: caip
     * @date: 2021-04-07 15:45:57
     * @param userName
     */
    private void clearLoginCount(String userName) {
        log.info("UserLoginServiceImpl clearLoginCount start");
        ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();
        // 清空登录计数
        opsForValue.set(SHIRO_LOGIN_COUNT + userName, "0");
        // 清空锁
        opsForValue.set(SHIRO_IS_LOCK + userName, "");
        log.info("UserLoginServiceImpl clearLoginCount end");
    }

整体代码

1. 参数对象

用于前后交互传参

package cn.xxx.rdc.fi.dto;

import lombok.Getter;
import lombok.Setter;

/**
 * @author xxx
 * @date: 2021-02-25 10:54:02
 * @Copyright: Copyright (c) 2006 - 2021
 * @Company: 公司
 * @Version: V1.0
 */
@Getter
@Setter
public class UserLoginDto {

    /** 账号. */
    private String usercode;

    /** 密码. */
    private String password;

    /** 记住密码. */
    private String remarkid;

    /** 用户类型. */
    private Integer userType;

    /** 微信userid. */
    private String wxuserid;

    /** 是否加密:1.是;0.否. */
    private String isEncryption;
}

2. 接口

定义交互标准

    @Autowired
    private IUserLoginService userLoginService;

    @ApiOperation(value = "用户登录", notes = "用户登录")
    @PostMapping("/userLogin")
    public PlatformResult<JSONObject> userLogin(@RequestBody UserLoginDto userLoginDto, ServletResponse response) {
        return userLoginService.userLogin(userLoginDto, response);
    }

3. 服务定义

定义服务标准

    /**
     * 用户登录
     * 
     * @author: xxx
     * @date: 2021-02-24 17:17:23
     * @param userLoginDto 用户登录对象
     * @return
     */
    PlatformResult<JSONObject> userLogin(UserLoginDto userLoginDto, ServletResponse response);

4. 服务实现

定义服务具体实现

package cn.xxx.rdc.knowledge.service.impl;

import java.util.concurrent.TimeUnit;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Service;

import com.alibaba.druid.util.StringUtils;
import com.alibaba.fastjson.JSONObject;

import cn.xxx.BootComm.Contants;
import cn.xxx.BootComm.utils.PlatformResult;
import cn.xxx.rdc.knowledge.dto.UserLoginDto;
import cn.xxx.rdc.knowledge.service.IUserService;
import cn.xxx.rdc.knowledge.utils.HttpClientUtil;
import cn.xxx.rdc.knowledge.utils.HttpRequestUtil;
import cn.xxx.rdc.knowledge.utils.RSAUtil;
import lombok.extern.slf4j.Slf4j;

/**
 * 用户登录服务类
 * 
 * @author xxx
 * @date: 2021-02-24 17:17:53
 * @Copyright: Copyright (c) 2006 - 2021
 * @Company: xxx
 * @Version: V1.0
 */
@Slf4j
@Service
public class UserServiceImpl implements IUserService {

    @Value("${user.login.url}")
    private String userLoginUrl;

    @Value("${sso.verifyUrl}")
    private String ssoVerifyUrl;

    @Value("${sso.defaultPrikey}")
    private String ssoDefaultPrikey;

    @Value("${user.logout.url}")
    private String userLogoutUrl;

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    // 用户登录次数计数 redisKey 前缀
    private final String SHIRO_LOGIN_COUNT = "kb_shiro_login_count_";
    // 用户登录是否被锁定 redisKey 前缀
    private final String SHIRO_IS_LOCK = "kb_shiro_is_lock_";

    @Override
    public PlatformResult<JSONObject> userLogin(UserLoginDto userLoginDto, ServletResponse response) {
        log.info("UserLoginServiceImpl userLogin start");

        // 获取HttpServletRequest、HttpServletResponse
        HttpServletResponse res = (HttpServletResponse)response;

        // 验证账户是否封锁
        String usercode = userLoginDto.getUsercode();
        ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();
        // 如果这个账号登录异常,则在登录页面提醒。
        String shiroLoginCount = opsForValue.get(SHIRO_LOGIN_COUNT + usercode);
        if (!StringUtils.isEmpty(shiroLoginCount) && Integer.parseInt(shiroLoginCount) >= 10) {
            if ("LOCK".equals(opsForValue.get(SHIRO_IS_LOCK + usercode))) {
                // 计数大于10次,设置用户被锁定5分钟
                String msg = "由于输入错误次数大于10次,帐号5分钟内已经禁止登录!";
                log.info(msg);
                return PlatformResult.failure(msg);
            }
        }

        // 未封锁,则进行登录请求
        userLoginDto.setIsEncryption("1");
        String params = JSONObject.toJSONString(userLoginDto);
        log.info("userLogin urlStr=[" + userLoginUrl + "]");
        log.info("userLogin params=[" + params.toString() + "]");
        // 调用登录http请求
        String result = HttpRequestUtil.httpCrossDomain(userLoginUrl, params);

        // 获取登录返回参数
        JSONObject resultJson = JSONObject.parseObject(result);
        int statusCode = resultJson.getIntValue("statusCode");
        boolean success = resultJson.getBooleanValue("success");
        // 判断是否登录成功
        String loginMsg = resultJson.getString("message");
        if (statusCode != 200 || !success) {
            // 登录失败计数
            opsForValue.increment(SHIRO_LOGIN_COUNT + usercode, 1); // 每次增加1
            log.info(usercode + ":账号登录异常次数:" + opsForValue.get(SHIRO_LOGIN_COUNT + usercode));

            // 登录异常次数超限实现锁定
            if (Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT + usercode)) >= 10) {
                opsForValue.set(SHIRO_IS_LOCK + usercode, "LOCK"); // 锁住这个账号,值是LOCK。
                stringRedisTemplate.expire(SHIRO_IS_LOCK + usercode, 5, TimeUnit.MINUTES); // expire 变量存活期限
            }
            return PlatformResult.failure(loginMsg);
        }

        // 登录成功解锁
        this.clearLoginCount(usercode);

        // 查询本系统用户信息
        JSONObject userObject = resultJson.getJSONObject("object");
        // 判断是否免密登录
        String tokenEncryption = userObject.getString("token");
        log.info("tokenEncryption=" + tokenEncryption);
        // 判断是否调用免密登录
        if (!StringUtils.isEmpty(tokenEncryption) && 36 < tokenEncryption.length()) {
            // 通过加密token,解密后调用sso接口获取用户信息
            String token = RSAUtil.decrypt(ssoDefaultPrikey, tokenEncryption);
            log.info("token=" + token);
            // 调用登录http请求
            String userResult = HttpClientUtil.getInstance().sendHttpGet(ssoVerifyUrl + "?token=" + token);
            log.info("userResult=" + userResult);

            // 获取登录返回参数
            resultJson = JSONObject.parseObject(userResult);
            String code = resultJson.getString("code");
            // 判断是否登录成功
            loginMsg = resultJson.getString("msg");
            if (!"0".equals(code)) {
                return PlatformResult.failure(loginMsg);
            }

            userObject = resultJson.getJSONObject("uid");
        }

        // 设置cookie中的THPMSCookie为登录用户的token
        res.addCookie(new Cookie(Contants.COOKIE_NAME, userObject.getString("token")));

        log.info("UserLoginServiceImpl userLogin result=[" + userObject.toString() + "]");
        log.info("UserLoginServiceImpl userLogin end");
        return PlatformResult.success(userObject);
    }

    /**
     * 清空登录计数
     * 
     * @author: caip
     * @date: 2021-04-07 15:45:57
     * @param userName
     */
    private void clearLoginCount(String userName) {
        log.info("UserLoginServiceImpl clearLoginCount start");
        ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();
        // 清空登录计数
        opsForValue.set(SHIRO_LOGIN_COUNT + userName, "0");
        // 清空锁
        opsForValue.set(SHIRO_IS_LOCK + userName, "");
        log.info("UserLoginServiceImpl clearLoginCount end");
    }

}

补充说明

        以上代码有部分业务代码,整合了自用的SSO(单点登录系统)用于验证账户密码正确性,使用时只需要关心锁定和解锁功能,其他代码直接删除或替换为业务代码即可。

CS_草祭先生
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java用户锁-针对不同用户不同的锁
qq_24973007的博客
01-20 1925
场景:用户点赞、取消点赞。 问题:避免点赞与取消点赞冲突,在不考虑其他方法前提下,采用JAVA synchronized 进行同步锁操作,如果直接锁方法,那A用户点赞、取消点赞时,会导致其他用户无法点赞、取消点赞。所以采用锁用户ID的形式 public static void main(String[] args) { // System.out.println(DigestUtils.md5DigestAsHex(("20210928#888" + "1010").getBytes
java登录密码错误锁定账号
weixin_47119456的博客
12-23 684
java登录锁定账号
java登录程序用户密码5分钟内输错3次锁定用户账号一天的实现
liuyinfei_java的博客
02-22 4282
第一步:建用户登录记录表直接贴出sql语句:create table C_LOGIN_RECORD ( c_id NUMBER(10) not null, --登录记录ID,不为空 username VARCHAR2(40), --用户名 lock_flag VARCHAR2(10), --锁定标志,'1'代表锁定状态 '0'未锁定状态 ...
java巧用redis,三分钟内登录失败5次,锁定账户5分钟
ITLYL的博客
11-11 3453
java巧用redis,三分钟内登录失败5次,锁定账户5分钟
Java用户信息的限制与异常
m0_71917549的博客
08-11 180
思路:过关斩将,正确方法取反。
Java中SpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了Java中SpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
java实现滑动验证解锁
08-18
Java实现滑动验证解锁 一、滑动验证解锁的概念 滑动验证解锁是一种常见的验证码机制,旨在防止机器人和恶意攻击。它通常用于登录、注册、评论等场景,以确保用户的身份和操作的合法性。Java实现滑动验证解锁是指...
Linux 中锁定解锁用户帐户的三种方法
09-14
主要介绍了Linux 中锁定解锁用户帐户的三种方法,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
django实现登录时候输入密码错误5次锁定用户十分钟
09-21
以下是如何在Django中实现这一功能的详细步骤: 首先,我们需要自定义Django的用户模型。在Django中,我们可以继承`AbstractUser`类来自定义用户模型,以添加额外的字段。在这个例子中,我们增加了`login_sta`(登录...
javaweb项目实现连续3次输错密码后禁止登录
nayi_224的博客
05-07 2万+
摘要:主要通过sql(oracle)实现连续X次输错密码后,禁止登录。Y小时或隔天后可以登录。 在javaweb项目的登录模块中经常会有连续X次输错密码后禁止登录的需求。这个功能可以通过多种方法来实现。本文只介绍以sql为主的方法,以供参考。 这是从实际项目中扒出来的代码,对一些变量名进行了处理,但是文中将包含全部核心代码。使用框架为struts2,ibatis。 需求:连续输入错误密码...
JAVA实现用户登录错误N次后,账户暂时锁定
洛阳泰山的博客
12-01 5006
本次要实现的需求是,用户登录错误,输入密码错误N次后,实现用户锁定,让用户等待一段时间后重新登录,目的是为了防止黑客暴力破解用户密码。
java实现同一用户如果5分钟内登录失败6次,禁用此用户登录30分钟
weixin_42593130的博客
02-15 835
可以使用Java编写一个登录失败计数器,记录同一用户在5分钟内登录失败的次数。当同一用户登录失败次数达到6次时,将该用户的登录状态设置为“禁用”,并在30分钟后将其重新启用。 具体实现方法包括: 在数据库中创建一个用户表,其中包括用户名、密码和登录状态等字段; 当用户登录失败时,检查该用户的登录状态。如果其状态为“正常”,则将该用户的登录失败次数加1; 如果该用户的登录失败次数达到6次,将其登录...
java实现登陆失败n次锁定账户,y分钟后自动解锁,两次失败间隔时间过大则不计次数(含redis处理)
qq_45502554的博客
02-12 6966
1. 功能说明 功能使用springboot框架完成,主要就是作用就是当用户登陆错误次数过多(本文登陆3次失败,锁定账户30分钟),将锁定账户,在30分钟后自动解除,并且如果两次错误登陆时间大于指定的时间差(本文为了演示,使用1分钟来代替),就只更新错误登陆时间,不更新错误登陆次数。 登陆次数锁定时间以及登陆错误时间间隔应该放在配置文件中,本文为了演示,暂时写在代码中,后续上线部署就需要放在配置文件中来获取 2.代码层面 (1)实体类(SysUserDO) //多余的实体属性可能不需要,已隐藏
对用户ID相同进行加锁的几种方法
java 大叔的博客
03-20 3779
对用户ID相同进行加锁的四种方法 先上代码 package com.nft.service.lock; import java.lang.ref.SoftReference; import java.util.HashMap; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurrent.locks.ReentrantLock; /** * 锁优化 * <br&g
RedisTemplate常用集合使用说明-opsForValue(二)
qq_35071164的博客
02-10 1388
转载自:https://blog.csdn.net/XinhuaShuDiao/article/details/84906357 基础配置介绍已经在前面的《RedisTemplate常用集合使用说明(一)》中已经介绍了,现在我们直接介绍opsForValue()方法的使用: 1、set(Kkey,Vvalue) 新增一个字符串类型的值,key是键,value是值。 redisTemplate.opsForValue().set("stringValue","bbb"...
@Autowried注解和@Resource注解的区别
sinat_31155413的博客
06-21 4874
1、@Autowried 用来装配bean, 可作用于字段上, 也可以作用于setter方法上. 是Spring的注解. 默认情况下要求对象必须存在, 它要求依赖对象必须存在. 若允许null值, 可以设置它的required为false. 默认按照类型byType进行装配注入. 如果想按照名称进行装配的话, 需要与Qualifer注解搭配使用 如下: @Autowired @Qua...
java代码实现登陆次数验证,登陆错误5次之后锁定30分钟
热门推荐
weixin_41996632的博客
01-03 2万+
本方法因为是根据思路纯手写,代码可以再简化,功能尝试没问题,最主要就是在登陆验证中的逻辑,checkLogin()方法是登录前的验证,而真正的登陆方式采用的是Shiro,若不是采用Shiro登陆,将该逻辑采用到自己登陆的方法中即可实现 一、用户验证必须字段  用户实体类中User.java添加一下字段,可自选持久化工具,本次采用jpa作为持久化工具 除了用户id,账户,密码之外其中还必须有三个...
java微信小程序用户信息解密遇见“javax.crypto.IllegalBlockSizeException: last block incomplete in decryption”报错
weixin_45441597的博客
08-21 2131
我们前端获取到的 encryptedData, sessionKey, iv 这三个数据是没问题的,但前端传给我们后端后,进行打印发现字符串的 “+ ” 全部变成了空格,这样数据肯定是有问题的,我们后端要进行数据的处理,将 空格 变成 “+”,这样数据才是正确的。)首先在网上搜,基本没有什么有用的回答,基本上都回答说传的数据有问题,微信传输的数据不太可能出问题。使用的“解密工具类”是复制的下面文章的代码。
java怎么实现踢掉在线用户_Spring Boot + Vue 前后端分离项目如何踢掉已登录用户...
weixin_29116603的博客
02-25 678
上篇文章中,我们讲了在 Spring Security 中如何踢掉前一个登录用户,或者禁止用户二次登录,通过一个简单的案例,实现了我们想要的效果。但是有一个不太完美的地方,就是我们的用户是配置在内存中的用户,我们没有将用户放到数据库中去。正常情况下,松哥在 Spring Security 系列中讲的其他配置,大家只需要参考Spring Security+Spring Data Jpa 强强联手,安...
java springboot 用户登录密码错误落定 半个小时候解锁
最新发布
09-02
Java Spring Boot中,当用户登录密码错误时,可以使用计时器来实现登录账户的解锁。具体的实现步骤如下: 1. 首先,可以在数据库中为用户表添加两个字段:`login_attempts`(登录尝试次数)和`locked_until`(解锁时间)。 2. 当用户登录失败时,将相应用户的`login_attempts`字段加1,并计算出解锁时间为当前时间加30分钟,并将该时间存储在`locked_until`字段中。 3. 在用户登录时,首先检查`login_attempts`字段是否超过一定次数限制,例如5次。如果超过限制,则再检查当前时间是否大于`locked_until`字段的值。如果满足条件,则解锁该用户,并将`login_attempts`设为0,`locked_until`设为null。 4. 在用户登录密码正确的情况下,将`login_attempts`设为0,并将`locked_until`设为null。 5. 在用户每次登录密码错误时,都要进行密码验证,验证密码错误与否,并执行上述逻辑。 通过以上步骤,可以实现用户登录密码错误次数限制以及解锁功能实现。在用户登录密码错误后的30分钟内,用户将无法登录,并且在登录成功后解锁用户账户。对于密码错误次数的限制和解锁时间的设定,可以根据实际需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值