Redis+lua脚本限制ip多次输入错误密码

于 2024-04-09 11:10:06 发布
阅读量610 收藏 4
点赞数 9
分类专栏: 项目相关 JAVA基础 文章标签: redis lua tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhb442/article/details/137542692
版权

Redis+lua脚本限制ip多次输入错误密码

不能锁username,因为如果有人恶意保留破解密码的话。会导致用户本人无法登录。
这里我采用 以ip的方式进行锁定。利用redis
设置key:ip。value:当前ip尝试登录的次数

实现逻辑

逻辑简单,假设限制错误次数为5

  1. 用户登录时。判断key是否存在。
  2. 如果key不存在,说明第一次登录。判断密码是否正确,如果正确什么都不干直接返回。如果不正确,设置key为ip,value为1,并设置过期时间,返回错误信息。
  3. 如果存在key,说明之前尝试登录过。判断value是否大于阈值,如果大于阈值刷新过期 并返回错误。如果小于阈值,还要判断密码是否正确如果密码正确,删除key并返回正确信息。如果密码不正确,将key的value值+1并重置过期时间,返回密码错误的信息。

以上主要注意两点
一点是有key的情况下密码正确需要删除key
二是有key的情况下,密码错误或者尝试次数大于阈值再次尝试登录,需要刷新过期时间

使用lua脚本主要保证了对上述逻辑的原子性,因为涉及获取key的值并判断,然后将key的值+1 或 删除key。

实现代码

Service类加载时,加载lua脚本

    private static final DefaultRedisScript<Long> CHECK_LOGIN_SCRIPT;

    // 类加载时 加载lua脚本
    static {
        CHECK_LOGIN_SCRIPT = new DefaultRedisScript<>();
        CHECK_LOGIN_SCRIPT.setLocation(new ClassPathResource("checkLogin.lua"));
        CHECK_LOGIN_SCRIPT.setResultType(Long.class);
    }

具体校验方法,主要逻辑调用了lua脚本

    private void checkLoginInfo(UserLoginContext userLoginContext) {
        String username = userLoginContext.getUsername();
        String password = userLoginContext.getPassword();

        //根据用户名查实体 从数据库
        RPanUser entity = getRPanUserByUsername(username);
        if (Objects.isNull(entity)){
            throw new RPanBusinessException("用户名不存在");
        }

        String salt = entity.getSalt();             //获取盐值
        String encPassword = PasswordUtil.encryptPassword(salt, password) ;  //将前端传 的密码加密
        String dbPassword = entity.getPassword();   //获取数据库的密码
        // encPassword 表示前端传过来的 加密后的密码
        // dbPassword  表示数据库中的   加密后的密码
        // TODO 调用lua脚本判断 登录失败 登录成功 及锁定ip
        List<String> keys = new ArrayList<>();
        String ipAddress = HttpLogEntityBuilder.getIpAddress(userLoginContext.getRequest());    //获取请求ip
        // key设置为 ip+username,进行锁定
        keys.add(UserConstants.CHECK_LOGIN_PREFIX + ipAddress + "_" + username);
        // 执行lua脚本
        Long result = (Long)redisTemplate.execute(CHECK_LOGIN_SCRIPT, keys, encPassword, dbPassword, UserConstants.CHECK_LOGIN_THRESHOLD, UserConstants.CHECK_LOGIN_EXPIRE);

        if (result == 0){
            throw new RPanBusinessException("用户名或密码不正确");
        }
        if (result == -1){
            throw new RPanBusinessException("输入密码错误达到"+UserConstants.CHECK_LOGIN_THRESHOLD+"次,请1分钟后尝试");
        }
//        if (!Objects.equals(encPassword, dbPassword)) {
//            throw new RPanBusinessException("密码信息不正确");
//        }
        //填入实体信息
        userLoginContext.setEntity(entity);
    }

lua脚本,放在resources目录下

-- 判断用户登录的lua脚本

local key1 = KEYS[1]
local password1 = ARGV[1]
local password2 = ARGV[2]
-- 阈值
local threshold = ARGV[3]
-- 过期时间
local expiretime = ARGV[4]

-- 判断key是否存在
local value = redis.call('get', key1)

-- 有key
if value then
    if(value >= threshold) then
        redis.call('expire', key1, expiretime)  -- 刷新过期时间
        return -1                               -- 输入密码错误达到threshold次,请1分钟后尝试
    end

    if(password1 == password2) then -- 校验正确,删除key并返回1表示通过
        redis.call('del', key1)
        return 1
    else
        redis.call('INCR', key1)               -- key的值+1
        redis.call('expire', key1, expiretime) -- 刷新过期时间
        return 0                                -- 用户名或密码不正确
    end
end

-- 没有key
if(password1 == password2) then
    return 1
else
    redis.call('setex', key1, expiretime, 1) -- setex key [过期时间] 1
    return 0   -- 用户名或密码不正确
end
Peanutty
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java+redis+lua实现重复提交操作拦截.zip
05-18
java+redis+lua实现重复提交操作拦截.防止出现同一数据在同一时间被操作多次。实现基于aop和注解。
nginx+lua+redis通过匹配客户端ip进行灰度发布
06-29
nginx+lua+redis通过匹配客户端ip进行灰度发布
Redis+LUA脚本结合AOP实现限流
Zyw907155124的博客
05-20 1528
1、通过lua脚本来实现动态的创建redis缓存2、基于Guava cache缓存存储实现限流切面3、自定义限流异常和限流key类型枚举
高性能分布式限流:Redis+Lua
三弦的回忆
10-28 681
springboot + aop + Lua 限流实现是比较简单的,旨在让大家认识下什么是限流?如何做一个简单的限流功能,面试要知道这是个什么东西。上面虽然说了几种实现限流的方案,但选哪种还要结合具体的业务场景,不能为了用而用。在真正的场景里,不止设置一种限流规则,而是会设置多个限流规则共同作用,如连接数、访问频率、黑白名单、传输速率等。
最完整清晰的redis+lua脚本+令牌桶算法 实现限流
bortherLiang的博客
10-20 1957
最完整清晰的redis+ lua脚本 + 令牌桶算法 实现限流控制 在网上看了好多博客,感觉不是很清楚,于是决定自己手撸一个。 一、自定义一个注解,用来给限流的方法标注 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RateLimit { //限流唯一标示 String key() default ""; //限流单位时间(单
Redis+Lua脚本实现分布式限流(Nginx+Lua IP限流)
MayMatrix 的博客
11-08 2460
在互联网应用中,高并发系统会面临一个重大的挑战,那就是大量流高并发访问,比如:天猫的双十一、京东618、秒杀、抢购促销等,这些都是典型的大流量高并发场景。关注【冰河技术】微信公众号,解锁更多【高并发】专题文章。注意:由于原文篇幅比较长,所以被拆分为:理论、算法、实战(HTTP接口实战+分布式限流实战)三大部分。理论篇:《》算法篇:《》本文是在《》一文的基础上进行实现,有关项目的搭建可参见《》一文的内容。小伙伴们可以关注【冰河技术】微信公众号来阅读上述文章。
Redis+LUA脚本实现限流
05-20
Redis+LUA脚本实现限流测试视频
基于Redis+Lua脚本实现分布式限流组件封装的方法
12-14
创建限流组件项目 pom.xml文件中引入相关依赖 ... <artifactId>spring-boot-starter-data-redis <groupId>org.springframework.boot <artifactId>spring-boot-starter-aop </dependency>
Golang使用lua脚本实现redis原子操作
12-20
[redis+lua 实现评分排行榜实时更新](#redis+lua 实现评分排行榜实时更新) [lua 脚本](#lua 脚本) Golang调用redis+lua示例 byte切片与string的转换优化 redis 调用Lua脚本 EVAL命令 redis调用Lua脚本需要使用...
【Java】集合List转换为数组【toArray() /stream()流】实现
hhb442的博客
08-28 5226
在Java中,集合(List 接口的实现类)提供了一个名为 toArray 的方法,用于将集合中的元素转换成数组。该方法有两个主要的重载形式,分别用于不同的情况。
【Java】java队列中的poll, peek和 element
hhb442的博客
02-21 976
element:查看首个元素,不会移除首个元素,如果队列是空的就抛出异常NoSuchElementException。peek:查看首个元素,不会移除首个元素,如果队列是空的就返回null。poll:将首个元素从队列中弹出,如果队列是空的,就返回null。都是返回队列中的首个元素。
【Java】深拷贝浅拷贝(Java实现)
hhb442的博客
01-30 965
在Java中,像数组、类Class、枚举Enum、Integer包装类等等,就是典型的引用类型,所以操作时一般来说采用的也是引用传递的方式;
【Java】对象数组排序(Comparable接口/Comparator接口)
hhb442的博客
08-17 772
Comparable接口的代码。
【Java】自定义对象作为HashMap的键,同时重写hashCode和equals方法
hhb442的博客
07-09 651
如果要将自定义类的实例 作为HashMap的 键,必须重写hashCode和equals方法。
Linux安装JDK和Maven并配置环境变量
最新发布
hhb442的博客
01-05 643
编辑这个profile文件,在文件中添加JDK环境变量。编辑完成之后,点击键盘“Esc”按键退出编辑状态,输入。进入到/etc目录,找到profile文件。xshell连接到云主机。使用xftp上传文件。
【Java】用接口声明变量和实现类声明的区别
hhb442的博客
03-04 288
当用接口声明变量并用实现类创建对象时,只能访问该接口中声明的方法和字段,而不能访问实现类中定义的其他方法和字段。这意味着可以确保任何使用该变量的代码都只能访问接口中定义的方法和字段,从而使代码更加抽象和通用。相反,如果使用相同的实现类声明并创建变量,则可以访问该实现类中定义的所有方法和字段。这使得可以直接操作实现类中的数据和功能,但同时也使代码更加具体和依赖于该实现类。因此,使用接口声明变量并用实现类创建对象可以使代码更加抽象和通用,而使用实现类声明变量则可以更直接地操作该实现类的数据和功能。
【Java】简单理解lambda表达式
hhb442的博客
08-18 272
lambda表达式 Lambda表达式无需用类实现接口 Lambda表达式创建接口对象同时实现了接口并且定义了其中的方法,创建对象后可直接通过对象调用接口中唯一的方法 lamda表达式只能有一行代码的情况下才能简化称为简化3,如果有多行就用花括号 接口必须为函数式接口,即接口中只能有一个抽象方法 多个参数也可以去掉参数类型,但要加括号 public class TestLambda02 { public static void main(String[] args) { //La
Java,类的继承与多态
hhb442的博客
08-18 240
继承与多态 多态 父类:Person 父类有一个 run() 方法 public class Person { public void run() { System.out.println("father run"); } } 子类:Student 继承父类Person 有一个重写父类 run() 方法 还要子类自己的 run() 方法 public class Student extends Person{ public void run()
redis+lua脚本
09-02
Redis引入Lua脚本的原因是因为在某些特定领域,需要扩充若干指令的原子性执行,仅使用原生命令无法完成。Redis为这样的用户场景提供了Lua脚本支持。用户可以向服务器发送Lua脚本来执行自定义动作,并获取脚本的响应数据。Redis服务器会单线程原子性地执行Lua脚本,保证在处理过程中不会被其他请求打断。 使用RedisLua脚本有以下好处: 1. 减少网络开销:可以将多个请求通过脚本的形式一次发送,减少网络时延。 2. 原子操作:Redis会将整个脚本作为一个整体执行,中间不会被其他请求插入。因此在脚本运行过程中无需担心竞态条件,无需使用事务。 3. 复用:客户端发送的脚本会永久存在Redis中,这样其他客户端可以复用这一脚本,而不需要使用代码完成相同的逻辑。 通过使用Lua脚本Redis能够更好地满足用户的特定需求,并提供更高效的执行方式。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Redis中使用Lua脚本(一)](https://blog.csdn.net/lpf463061655/article/details/98971806)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值