Redis+lua脚本限制ip多次输入错误密码

最新推荐文章于 2024-08-14 09:00:00 发布
最新推荐文章于 2024-08-14 09:00:00 发布
阅读量730 收藏 4
点赞数 9
分类专栏: 项目相关 JAVA基础 文章标签: redis lua tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhb442/article/details/137542692
版权

Redis+lua脚本限制ip多次输入错误密码

不能锁username,因为如果有人恶意保留破解密码的话。会导致用户本人无法登录。
这里我采用 以ip的方式进行锁定。利用redis
设置key:ip。value:当前ip尝试登录的次数

实现逻辑

逻辑简单,假设限制错误次数为5

  1. 用户登录时。判断key是否存在。
  2. 如果key不存在,说明第一次登录。判断密码是否正确,如果正确什么都不干直接返回。如果不正确,设置key为ip,value为1,并设置过期时间,返回错误信息。
  3. 如果存在key,说明之前尝试登录过。判断value是否大于阈值,如果大于阈值刷新过期 并返回错误。如果小于阈值,还要判断密码是否正确如果密码正确,删除key并返回正确信息。如果密码不正确,将key的value值+1并重置过期时间,返回密码错误的信息。

以上主要注意两点
一点是有key的情况下密码正确需要删除key
二是有key的情况下,密码错误或者尝试次数大于阈值再次尝试登录,需要刷新过期时间

使用lua脚本主要保证了对上述逻辑的原子性,因为涉及获取key的值并判断,然后将key的值+1 或 删除key。

实现代码

Service类加载时,加载lua脚本

    private static final DefaultRedisScript<Long> CHECK_LOGIN_SCRIPT;

    // 类加载时 加载lua脚本
    static {
        CHECK_LOGIN_SCRIPT = new DefaultRedisScript<>();
        CHECK_LOGIN_SCRIPT.setLocation(new ClassPathResource("checkLogin.lua"));
        CHECK_LOGIN_SCRIPT.setResultType(Long.class);
    }

具体校验方法,主要逻辑调用了lua脚本

    private void checkLoginInfo(UserLoginContext userLoginContext) {
        String username = userLoginContext.getUsername();
        String password = userLoginContext.getPassword();

        //根据用户名查实体 从数据库
        RPanUser entity = getRPanUserByUsername(username);
        if (Objects.isNull(entity)){
            throw new RPanBusinessException("用户名不存在");
        }

        String salt = entity.getSalt();             //获取盐值
        String encPassword = PasswordUtil.encryptPassword(salt, password) ;  //将前端传 的密码加密
        String dbPassword = entity.getPassword();   //获取数据库的密码
        // encPassword 表示前端传过来的 加密后的密码
        // dbPassword  表示数据库中的   加密后的密码
        // TODO 调用lua脚本判断 登录失败 登录成功 及锁定ip
        List<String> keys = new ArrayList<>();
        String ipAddress = HttpLogEntityBuilder.getIpAddress(userLoginContext.getRequest());    //获取请求ip
        // key设置为 ip+username,进行锁定
        keys.add(UserConstants.CHECK_LOGIN_PREFIX + ipAddress + "_" + username);
        // 执行lua脚本
        Long result = (Long)redisTemplate.execute(CHECK_LOGIN_SCRIPT, keys, encPassword, dbPassword, UserConstants.CHECK_LOGIN_THRESHOLD, UserConstants.CHECK_LOGIN_EXPIRE);

        if (result == 0){
            throw new RPanBusinessException("用户名或密码不正确");
        }
        if (result == -1){
            throw new RPanBusinessException("输入密码错误达到"+UserConstants.CHECK_LOGIN_THRESHOLD+"次,请1分钟后尝试");
        }
//        if (!Objects.equals(encPassword, dbPassword)) {
//            throw new RPanBusinessException("密码信息不正确");
//        }
        //填入实体信息
        userLoginContext.setEntity(entity);
    }

lua脚本,放在resources目录下

-- 判断用户登录的lua脚本

local key1 = KEYS[1]
local password1 = ARGV[1]
local password2 = ARGV[2]
-- 阈值
local threshold = ARGV[3]
-- 过期时间
local expiretime = ARGV[4]

-- 判断key是否存在
local value = redis.call('get', key1)

-- 有key
if value then
    if(value >= threshold) then
        redis.call('expire', key1, expiretime)  -- 刷新过期时间
        return -1                               -- 输入密码错误达到threshold次,请1分钟后尝试
    end

    if(password1 == password2) then -- 校验正确,删除key并返回1表示通过
        redis.call('del', key1)
        return 1
    else
        redis.call('INCR', key1)               -- key的值+1
        redis.call('expire', key1, expiretime) -- 刷新过期时间
        return 0                                -- 用户名或密码不正确
    end
end

-- 没有key
if(password1 == password2) then
    return 1
else
    redis.call('setex', key1, expiretime, 1) -- setex key [过期时间] 1
    return 0   -- 用户名或密码不正确
end
Peanutty
关注
专栏目录
【解决方案】令牌桶限流器(Redis+LUA+Python实现)
天然玩家的博客
09-01 503
Python+Redis+LUA实现令牌桶限流。令牌桶限流在保持系统限流在选定的时间单位内稳定限流,同时,可以承载在单位时间内令牌桶容量的请求。
LUA 字符串密码格式校验
u011559236的博客
05-13 1831
最近工作中遇到需要使用LUA脚本进行字符串的密码校验,利用业余时间进行下总结: 1、Ubuntu下安装LUA,只需要一个执行udo apt-get install lua5.2即可,本来想安装5.3,但是失败了,所以只安装了5.2: 2、先简单写个LUA脚本,实验下是否好用:           3、然后执行lua ./checkpass.lua查看结果: 4、接下来补充完整的校
Spring项目使用Redis限制用户登录失败的次数以及暂时锁定用户登录权限
openallzzz
08-17 2917
登录业务预先判断了该账号是否被锁定,如果短期内有大量登录请求(用户不断试错、被恶意攻击),压力只会给到Redis,从而避免DB被大量请求打中。
Lua实战之密码验证
fightsyj的博客
03-02 2981
验证标准: 密码必须包含数字、字母(不区分大小写)和特殊字符,长度为8-16位! function checkPwd(pwd) if #pwd == 0 then print("密码不能为空") return false end if #pwd < 8 or #pwd > 16 then print("密码长度为8-16位") return false end local numberCnt, letterCnt, specialCnt, otherCnt = .
Redis+Lua脚本基于计数器算法的限流
最新发布
水蓝
08-14 880
这篇文章介绍了在高并发服务中保障系统稳定性的三大关键技术:缓存、降级和限流。缓存通过在内存中存储经常访问的数据来减少数据库负载,从而提升响应速度;降级在系统压力过大时暂时关闭非核心服务,以保障核心服务的运行;限流则通过控制请求速率防止系统过载。文章还展示了如何在Spring项目中实现限流功能,包括定义限流配置、编写限流注解、以及通过AOP切面类进行限流逻辑处理。最后,通过JMeter对限流接口进行测试,验证了限流配置的有效性。
Spring Boot通过自定义注解和Redis+Lua脚本实现接口限流
热门推荐
傲泣龙腾的博客
06-09 1万+
在我们日常开发的项目中为了保证系统的稳定性,很多时候我们需要对系统接口做限流处理,它可以有效防止恶意请求对系统造成过载。通过本文的步骤,我们将成功地在`Spring Boot`项目中结合`Redis`和`Lua`脚本实现了一个灵活高效的接口限流功能。通过`自定义注解`和`AOP`切面,可以方便地为不同的接口设置不同的限流策略
Redis+LUA脚本结合AOP实现限流
Zyw907155124的博客
05-20 1726
1、通过lua脚本来实现动态的创建redis缓存2、基于Guava cache缓存存储实现限流切面3、自定义限流异常和限流key类型枚举
高性能分布式限流:Redis+Lua
三弦的回忆
10-28 783
springboot + aop + Lua 限流实现是比较简单的,旨在让大家认识下什么是限流?如何做一个简单的限流功能,面试要知道这是个什么东西。上面虽然说了几种实现限流的方案,但选哪种还要结合具体的业务场景,不能为了用而用。在真正的场景里,不止设置一种限流规则,而是会设置多个限流规则共同作用,如连接数、访问频率、黑白名单、传输速率等。
Redis+lua脚本的限流方案介绍
fanxuefeihong的博客
07-02 605
Inherited/*** key*//*** Key的前缀*//*** 一定时间内最多访问次数*//*** 给定的时间范围 单位(秒)*//*** 限流的类型(用户自定义key或者请求ip)*/@Component@Bean//设置value的序列化方式为JSOn//设置key的序列化方式为String@Aspect@Slf4j@Autowired
最完整清晰的redis+lua脚本+令牌桶算法 实现限流
bortherLiang的博客
10-20 2517
最完整清晰的redis+ lua脚本 + 令牌桶算法 实现限流控制 在网上看了好多博客,感觉不是很清楚,于是决定自己手撸一个。 一、自定义一个注解,用来给限流的方法标注 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RateLimit { //限流唯一标示 String key() default ""; //限流单位时间(单
【Spring】Spring AOP 结合 Redis + Lua 脚本实现分布式限流
九师兄
12-11 1024
此 demo 主要演示了 Spring Boot 项目如何通过 AOP 结合 Redis + Lua 脚本实现分布式限流,旨在保护 API 被恶意频繁访问的问题,是的升级版。
Redis + Lua 实现分布式限流器
weixin_44783506的博客
02-05 1558
*** @explain: 限流类型/*** 自定义key* 请求者IP*/ IP;period表示请求限制时间段count表示在period这个时间段内允许放行请求的次数。limitType代表限流的类型,可以根据请求的IP自定义key,如果不传limitType属性则默认用方法名作为默认key。import com/*** @explain: 自定义限流注解。
通过OpenResty+Redis+MySQL+Lua脚本实现对首页轮播图的优化
m0_62404386的博客
08-24 971
OpenResty+Redis+Lua+MySQL 完成首页优化
基于redis整合Lua脚本完成限流操作
wumingdu1234的博客
01-20 1665
shield-ratelimiter 基于Redis的分布式限流工具包 在分布式领域,我们难免会遇到并发量突增,对后端服务造成高压力,严重甚至会导致系统宕机。为避免这种问题,我们通常会为接口添加限流、降级、熔断等能力,从而使接口更为健壮。Java领域常见的开源组件有Netflix的hystrix,阿里系开源的sentinel等,都是蛮不错的限流熔断框架。 今天我们就基于Redis组件的特性,实现一个分布式限流组件,名字就定为shield-ratelimiter。 原理 首先解释下为何采用Redis作为限流组
【Java】集合List转换为数组【toArray() /stream()流】实现
hhb442的博客
08-28 8621
在Java中,集合(List 接口的实现类)提供了一个名为 toArray 的方法,用于将集合中的元素转换成数组。该方法有两个主要的重载形式,分别用于不同的情况。
【Java】java队列中的poll, peek和 element
hhb442的博客
02-21 1142
element:查看首个元素,不会移除首个元素,如果队列是空的就抛出异常NoSuchElementException。peek:查看首个元素,不会移除首个元素,如果队列是空的就返回null。poll:将首个元素从队列中弹出,如果队列是空的,就返回null。都是返回队列中的首个元素。
【Java】对象数组排序(Comparable接口/Comparator接口)
hhb442的博客
08-17 1104
Comparable接口的代码。
【Java】深拷贝浅拷贝(Java实现)
hhb442的博客
01-30 1049
在Java中,像数组、类Class、枚举Enum、Integer包装类等等,就是典型的引用类型,所以操作时一般来说采用的也是引用传递的方式;
Linux安装JDK和Maven并配置环境变量
hhb442的博客
01-05 864
编辑这个profile文件,在文件中添加JDK环境变量。编辑完成之后,点击键盘“Esc”按键退出编辑状态,输入。进入到/etc目录,找到profile文件。xshell连接到云主机。使用xftp上传文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值