登录次数限制

已于 2025-02-28 20:53:11 修改
阅读量1.2k 收藏 20
点赞数 13
分类专栏: 系统设计场景 文章标签: java 开发 spring 后端
于 2025-02-27 10:50:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70871140/article/details/145897904
版权

文章目录

现在应用中,大部分都有登录模块——获取系统权限的第一道防线。面对登录框,黑客有很多攻击手段,暴力破解就是其中一种低成本攻击方法。所以登录次数限制功能成为了必要的防护措施。

一、应用场景与设计目的
1. 应用场景
  • 防御暴力破解攻击:攻击者尝试通过自动化工具测试大量用户名和密码组合。
  • 防止资源滥用:恶意用户可能通过频繁的登录尝试,增加服务器负担,甚至造成拒绝服务。
  • 提高用户数据安全性:通过限制失败尝试,保护用户的敏感信息不被非法访问。
2. 设计目的
  • 安全性:通过限制失败次数和时间窗口,降低账户被暴力破解的风险。
  • 用户体验:提供适度的限制和友好的提示信息,避免对正常用户造成过多干扰。
  • 灵活性:支持基于用户、IP或设备的多维度限制规则,适应不同场景需求。
  • 性能与扩展性:方案应在高并发环境下高效运行,并支持分布式部署。
二、功能设计
1. 登录限制规则
  • 失败次数限制:在固定时间窗口内(如5分钟)限制尝试登录的次数(如最多5次)。
  • 锁定机制:超过限制后,账号或IP在一段时间内无法登录(如10分钟)。
  • 逐步增加惩罚:对于多次超过限制的用户,可动态增加锁定时间。
2. 解锁机制
  • 自动解锁:等待锁定时间结束后自动解除限制。
  • 管理员手动解锁:在后台管理系统提供手动解锁的功能。
  • 多级验证:对于恶意尝试较多的用户,强制加入额外验证(如验证码)。
3. 适用维度
  • 用户级别:限制特定用户名的登录尝试。
  • IP级别:限制特定IP地址的频繁尝试,防止分布式攻击。
  • 设备级别:针对特定设备标识限制尝试。
三、技术实现
1. 数据存储

为了高效记录和管理登录尝试信息,推荐使用缓存系统(如 Redis)。它具有高性能、自动过期和分布式支持的特点。

数据结构设计

  • 键:login_attempts:{username}login_attempts:{ip}
  • 值:记录失败次数。
  • 过期时间:失败记录的生存周期(如5分钟)。
2. 逻辑流程

以下是登录次数限制的基本流程:

  1. 检查当前用户或IP是否已被锁定:

    • 如果锁定,提示用户锁定状态及剩余时间。

  2. 验证用户名和密码:

    • 成功:清除失败记录。
    • 失败:增加失败次数,更新过期时间,提示剩余尝试次数。

  3. 当失败次数超过限制时:

    • 锁定账户或IP,记录锁定时间。

    在这里插入图片描述

3. 实现代码示例

先引入redis依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

以下为 Java 伪代码,展示登录限制的基本实现。后面注入这个bean,根据上面流程图在对应的地方调用方法就可以了。


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;

import java.util.concurrent.TimeUnit;

@Service
public class LoginAttemptService {

    private final int MAX_ATTEMPTS = 5; // 最大失败次数
    private final long LOCK_TIME = 15; // 锁定时间,单位:分钟

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    private String getRedisKey(String username) {
        return "login_attempt:" + username;
    }

    public void loginFailed(String username) {
        String redisKey = getRedisKey(username);
        Integer attempts = (Integer) redisTemplate.opsForValue().get(redisKey);

        if (attempts == null) {
            redisTemplate.opsForValue().set(redisKey, 1, LOCK_TIME, TimeUnit.MINUTES);
        } else {
            redisTemplate.opsForValue().increment(redisKey);
        }
    }

    public void loginSucceeded(String username) {
        redisTemplate.delete(getRedisKey(username));
    }

    public boolean isLocked(String username) {
        String redisKey = getRedisKey(username);
        Integer attempts = (Integer) redisTemplate.opsForValue().get(redisKey);

        if (attempts != null && attempts >= MAX_ATTEMPTS) {
            return true;
        }
        return false;
    }

    public long getRemainingLockTime(String username) {
        String redisKey = getRedisKey(username);
        return redisTemplate.getExpire(redisKey, TimeUnit.SECONDS);
    }
}
4. 动态锁定时间

这里你可以想办法保留先前登录失败的次数,每错一次就增加锁定的时间(类似iPhone)。

锁定时间可以随着失败次数增加,采用指数递增策略:

  • 第一次锁定:5分钟。
  • 第二次锁定:15分钟。
  • 第三次锁定:30分钟。

伪代码如下:

private long calculateLockTime(int attempts) {
    return (long) Math.pow(2, attempts - MAX_ATTEMPTS) * LOCK_TIME;
}
四、安全增强与扩展
1. 防止用户名枚举

攻击者可能通过系统错误提示,判断用户名是否存在。为此:

  • 登录失败统一返回:“用户名或密码错误”。
2. 加入验证码

在尝试次数接近上限时,强制用户通过验证码验证,增加破解难度。

3. 监控与报警

记录登录失败日志,通过分析大规模失败尝试,发现并阻止潜在的暴力破解行为。

4. 分布式支持

在分布式系统中,使用统一的缓存(如 Redis)存储失败记录,保证所有实例共享数据。

五、设计思考
  1. 如何平衡安全与用户体验
    • 过于严格的限制可能导致误锁定正常用户,建议提供解锁选项(如通过邮箱验证)。
  2. 如何应对复杂攻击场景?
    • 对于分布式暴力破解,需结合IP限制和设备指纹等多维度数据分析。
  3. 是否需要提供自定义规则?
    • 根据业务场景,允许管理员配置失败次数、锁定时间等规则,以适应不同的安全需求。
六、总结
  1. 如何平衡安全与用户体验?
    • 过于严格的限制可能导致误锁定正常用户,建议提供解锁选项(如通过邮箱验证)。
  2. 如何应对复杂攻击场景?
    • 对于分布式暴力破解,需结合IP限制和设备指纹等多维度数据分析。
  3. 是否需要提供自定义规则?
    • 根据业务场景,允许管理员配置失败次数、锁定时间等规则,以适应不同的安全需求。

登录次数限制是一项核心的安全功能,它不仅能有效防御暴力破解攻击,还能增强系统的整体安全性。在实现过程中,应兼顾安全性、用户体验与系统性能。同时,通过动态调整规则、加入验证码和增强监控,可以进一步提升系统的防护能力。


博客主页: 总是学不会.

Java实现用户每天登录次数限制
BXERP(集成小程序的多商户开源收银系统)。代码托管在CodeChina和GitHub
12-22 3164
正常的用户每天的登录退出不会太频繁,遇到频繁的登录则很可能是黑客行为。对于黑客行为,我们可以使用登录次数限制来应对。本文将介绍如何限制用户每天的登录次数,包括:“记录当天用户账号的登录次数”、“用户进行登录请求时,检查当天账号的登录次数”、“用户正常退出登录,更新登录次数”。 1、记录当天用户账号的登录次数。 定义hashmap类型的属性mapLoginCountIn1Day,用来存储当前用户账...
C# winform实现登陆次数限制
09-02
主要介绍了C# winform实现登陆次数限制,相信大家都遇到过网站在用户多次输错密码之后会自动把账户冻结的情况,这种功能如何实现,下面小编为大家分享实现方法
java登录次数限制_[Java教程]限制登录次数
weixin_34072734的博客
02-16 2479
[Java教程]限制登录次数02017-02-20 00:00:31题目:有一APP客户端需要增加一个功能,限制用户输入密码登陆次数1小时内不得超过5次尝试,否则认为是在作弊,将予以保护不得用户再继续进行操作。思路:此处应该加锁,但是加锁会影响登录效率.看题目发现用户id是作为传入参数。所以我们可不可以拿用户id作为一个锁呢?这样就只会锁住该用户,而不会锁住别人.使用Redis作为缓存,key为用...
JAVA Web系统限制登录非法次数及账户锁定
实操测试大于理论
12-09 487
1)筛选出该用户名最新一次成功登录后(STATUS为01)的登录次数(即登录失败次数),同时考虑到遇到中途改造,有的用户或许暂时还没有记录,则当找不到最新成功登陆记录后设置一个日期够小的值。此处sql主要核心逻辑是,查出该用户当前有效(未达到限制次数顶峰、距离上已次账户被锁定但可解锁情况)的登陆失败次数。本文记录在java web系统开发中,关于账户的安全进行限制登录非法次数。2)涵盖上次登陆失败被锁定(is_lock为01)但没超过15分钟的记录。在此这里贴多一份Oracle创建语句的sql。
JAVA如何防止用户暴力登录接口?如何限制同一IP登录次数
城南蝈蝈
02-28 979
这个模型已经实现了限制同一个用户的登录功能,但是并不能满足上面需求,因为上方用不同的用户名暴力测试接口,那么这个功能显得就不那么优秀了,我们需要一个更强力的功能来实现这个要求。等保测评中有一项“暴力刷登录接口”这个项目,也就是测试方用第三方工具短时间内大量向后台登录接口发送数据,看看登录接口的承压能力。实际上就是拦截通过一个IP的频繁请求行为,如果请求过于频繁则不响应此IP的任何请求。这个方案前面的版本已经实现了,同一个用户限制登录的模型。1.方案一:使用redis记录用户登录信息。
Java 登录错误次数限制,用户禁登1小时
qq_41867674的博客
05-25 728
【代码】Java 登录错误次数限制,用户禁登1小时。
登录JAVA代码实现用户的登录次数+记录/刷新上次登录时间(一看就会篇)
萌小崔的博客
10-21 5529
方法一 在你的数据库用户表中添加次数+时间字段....等你需要显示的字段 我在这里演示用户登录次数+上次登录时间,方法一致!! Controller控制层代码 @RequestMapping("tolog") public String tolog(@ModelAttribute User user){ return "log"; } @RequestMapping(value = "log") public String...
redis 实现登陆次数限制的思路详解
01-19
利用 redis 实现登陆次数限制, 注解 + aop, 核心代码很简单. 基本思路 比如希望达到的要求是这样: 在 1min 内登陆异常次数达到5次, 锁定该用户 1h 那么登陆请求的参数中, 会有一个参数唯一标识一个 user, 比如 邮箱/...
c# 登陆次数限制
04-09
完成了 同一个用户名的登陆限制 超过一定的次数不允许登陆
Java实现由用户设定登录最大次数登录次数受限的模块
m0_69715013的博客
09-28 754
Java语言实现由用户设定登录最大次数登录次数受限的模块
JAVA实现简单的登录界面
07-16
JAVA实现简单的登录界面,含有二个按钮”登录” “取消”,登录次数限制
解决方法:帝国cms系统限制登录次数不得超过 5 次,请等 60 分钟过后,方可重新登录
winkexin的博客
05-15 671
需要提醒的是,以上两种方法属于急救方法,修改配置文件 config.php 后请不要忘了还原,以便网站能够再次受到安全保护!2、打开该文件,第142行 'logintime'=>60, (这里的数字60就是登陆限制后需要等待的时间,单位分钟);2、打开该文件,第141行 'loginnum'=>5, (这里的数字5就是系统限制的登陆次数);3、修改这个数字为 0 ,找到正确的账户和密码后再次登陆,就能成功进入后台了。3、修改这个数字大于5,找到正确的账户和密码后再次登陆,就能成功进入后台了。
用户多次输错密码后的登录限制策略
m0_73355421的博客
01-15 836
在网络应用中,保障账户安全是一个重要议题。当用户多次输入错误密码后,系统需要采取一定的限制措施以防止暴力破解等恶意攻击。本文将探讨几种实现用户登录限制的策略,包括使用 Redis 和不使用 Redis 的方法,以及其他可能的方案。
登录限流实现
ChineseSoftware的博客
02-23 730
一、问题描述 某个系统的登录接口在被刷。现要建立一个防刷/限流机制,根据登录 IP,30 分钟之内,只能发起 30 次登录请求。如果超过该限制,则整个 IP 限制登录请求 30 分钟。 二、设计思路 这道题主要是设计两个 Map: 1️⃣第一个 Map,记录每个 IP 及其登录的时间。题目要求,30 分钟之内只能登录 30 次,所以 Map 的 key 为 IP,value 可以设计一个队列,队列长度 30,队列元素为每次的登录时间。 2️⃣第二个 Map,记录禁止登录的 IP 及禁止开始时间。Map 的
SpringBoot - 优雅的实现【账号登录错误次数限制和锁定】
小工匠
11-26 4566
/ 默认值依赖配置文件,可在此处设定默认值在服务的方法上添加自定义注解基于Spring Boot的账号登录错误次数限制和锁定功能,使用了Redis来存储登录失败次数和锁定状态,并通过自定义注解和AOP来实现切面逻辑。配置文件中可以灵活配置最大尝试次数和锁定时长。
如何设计登录接口,十分钟内连续五次登录失败,需要等待30分钟才能继续登录
奈斯查尔斯吴的博客
12-15 3174
登录信息设计 isfail方法逻辑: class Person{ //重置时间--16s private static final int RESET_TIME=16; //密码连续输入3次失败的持续时间--8 private static final int DURATION=8; //最大输入失败次数3 private static final int MAX_TIMES=3; //用户id private String id;
“用户多次登录,账号冻结业务”功能实现(代码+详细注释)
CYK_byte的博客
04-10 1902
用户输错密码过多,我们该如何处理?
系统登录失败次数超过限定次数,则根据IP或用户名锁定,需要过了锁定时间才可以继续登录
weixin_43165220的博客
06-26 5742
之前做的项目都有用户名锁定机制,即:用户名失败次数超过多少次,就锁定这个用户不可以再登录,需要等过了锁定时间才可以继续登录。然后最近的一个项目中,有个漏洞整改措施中,提到了这个锁定机制不能只根据用户名锁定,还要根据IP锁定。
mysql 设置登陆失败次数限制
最新发布
03-25
### 设置 MySQL 登录失败次数限制 在 MySQL 中,可以通过配置插件 `validate_password` 和使用账户管理功能来实现对登录失败尝试次数限制。以下是具体方法: #### 使用 `MAX_USER_CONNECTIONS` 或 `max_user_connections` 虽然 MySQL 本身不直接提供针对登录失败次数的功能,但可以间接通过连接数限制以及错误处理机制达到类似效果。管理员可利用 `GRANT` 命令中的参数控制用户的最大并发连接数量。 ```sql -- 将用户 'testuser' 的最大连接数设为 5 GRANT USAGE ON *.* TO 'testuser'@'localhost' WITH MAX_USER_CONNECTIONS 5; ``` 此命令会限制指定用户的最大连接数[^2]。 #### 配置密码验证插件 启用并配置 `validate_password` 插件可以帮助加强安全策略,尽管它主要关注于密码复杂度而非登录失败次数。安装该插件后可以根据需求调整其强度级别和其他选项。 ```sql INSTALL PLUGIN validate_password SONAME 'validate_password.so'; SET GLOBAL validate_password.policy=STRONG; -- 设定强密码政策 ``` 上述 SQL 片段展示了如何加载插件并将密码策略设定为更强模式[^3]。 对于更精确地追踪和阻止过多连续失败登录,则需依赖外部工具或者自定义脚本配合操作系统层面的日志监控完成进一步的安全防护措施实施工作。 #### 自动化故障转移 (Failover) 当数据库服务不可用时,如主库因意外被终止 (`pkill -9 mysqld`) 而无法响应请求的情况下,高可用架构下的自动 failover 功能显得尤为重要。这通常涉及部署复制集群环境,并借助第三方软件比如 MHA(MySQL HA), Orchestrator 来简化切换流程[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值