spring security防止恶意登录

最新推荐文章于 2024-05-13 22:20:01 发布
最新推荐文章于 2024-05-13 22:20:01 发布
阅读量4.6k 收藏 8
点赞数 2
分类专栏: spring Spring Security spring security 实战 文章标签: AuthenticationFailureHandler UserDetailsService AuthenticationSuccessEvent AuthenticationFailureEvent RequestContextListener
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neweastsun/article/details/79825188
版权

spring security防止恶意登录

本文我们使用spring security提供一个基本的解决方案防止恶意登录。
简单地说,我们记录来自同一IP的登录失败次数,如果超过设定的数量,在24小时内被阻止登录。

AuthenticationFailureEventListener

我们定义AuthenticationFailureEventListener,监听AuthenticationFailureBadCredentialsEvent事件认证失败发出通知:

@Component
public class AuthenticationFailureListener 
  implements ApplicationListener<AuthenticationFailureBadCredentialsEvent> {
 
    @Autowired
    private LoginAttemptService loginAttemptService;
 
    public void onApplicationEvent(AuthenticationFailureBadCredentialsEvent e) {
        WebAuthenticationDetails auth = (WebAuthenticationDetails) 
          e.getAuthentication().getDetails();
         
        loginAttemptService.loginFailed(auth.getRemoteAddress());
    }
}

当认证失败时,我们通知LoginAttemptService 并传递尝试失败源Ip地址。

AuthenticationSuccessEventListener

我们也定义一个AuthenticationSuccessEventListener,监听AuthenticationSuccessEvent事件,当认证成功时发出通知:

@Component
public class AuthenticationSuccessEventListener 
  implements ApplicationListener<AuthenticationSuccessEvent> {
 
    @Autowired
    private LoginAttemptService loginAttemptService;
 
    public void onApplicationEvent(AuthenticationSuccessEvent e) {
        WebAuthenticationDetails auth = (WebAuthenticationDetails) 
          e.getAuthentication().getDetails();
         
        loginAttemptService.loginSucceeded(auth.getRemoteAddress());
    }
}

与登录失败监听器类似,我们通知LoginAttemptService并带上IP地址。

## LoginAttemptService ##

现在我们讨论LoginAttemptService的实现,我们需要保存每个失败登录IP地址24小时:

@Service
public class LoginAttemptService {
 
    private final int MAX_ATTEMPT = 10;
    private LoadingCache<String, Integer> attemptsCache;
 
    public LoginAttemptService() {
        super();
        attemptsCache = CacheBuilder.newBuilder().
          expireAfterWrite(1, TimeUnit.DAYS).build(new CacheLoader<String, Integer>() {
            public Integer load(String key) {
                return 0;
            }
        });
    }
 
    public void loginSucceeded(String key) {
        attemptsCache.invalidate(key);
    }
 
    public void loginFailed(String key) {
        int attempts = 0;
        try {
            attempts = attemptsCache.get(key);
        } catch (ExecutionException e) {
            attempts = 0;
        }
        attempts++;
        attemptsCache.put(key, attempts);
    }
 
    public boolean isBlocked(String key) {
        try {
            return attemptsCache.get(key) >= MAX_ATTEMPT;
        } catch (ExecutionException e) {
            return false;
        }
    }
}

对尝试登录IP,登录失败时增加对应登录次数,成功登录重置次数。
因此,认证时,我们需要检查登录次数。

UserDetailsService

现在,我们需要在自定义的UserDetailService实现中增加额外检查,当加载UserDetail时,首先需要检查是否为阻止的IP地址:

@Service("userDetailsService")
@Transactional
public class MyUserDetailsService implements UserDetailsService {
  
    @Autowired
    private UserRepository userRepository;
  
    @Autowired
    private RoleRepository roleRepository;
  
    @Autowired
    private LoginAttemptService loginAttemptService;
  
    @Autowired
    private HttpServletRequest request;
  
    @Override
    public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {
        String ip = getClientIP();
        if (loginAttemptService.isBlocked(ip)) {
            throw new RuntimeException("blocked");
        }
  
        try {
            User user = userRepository.findByEmail(email);
            if (user == null) {
                return new org.springframework.security.core.userdetails.User(
                  " ", " ", true, true, true, true, 
                  getAuthorities(Arrays.asList(roleRepository.findByName("ROLE_USER"))));
            }
  
            return new org.springframework.security.core.userdetails.User(
              user.getEmail(), user.getPassword(), user.isEnabled(), true, true, true, 
              getAuthorities(user.getRoles()));
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}

getClientIP()方法:

private String getClientIP() {
    String xfHeader = request.getHeader("X-Forwarded-For");
    if (xfHeader == null){
        return request.getRemoteAddr();
    }
    return xfHeader.split(",")[0];
}

注意,我们使用了额外的逻辑获取客户端IP地址,在大多数情况下,这是不需要的,但一些网络场景中需要。
因为这些特殊场景,我们需要X-Forwarded-For获得原IP地址,其头语法如下:

X-Forwarded-For: clientIpAddress, proxy1, proxy2
我们又发现了Spring另一个超有趣的功能,我们需要http请求,因此,简单写在http请求里就行。

现在好了,我们需要快速注册http请求监听器,可以直接在web.xml中增加,从而简化应用开发:

<listener>
    <listener-class>
        org.springframework.web.context.request.RequestContextListener
    </listener-class>
</listener>

javaConfig方式:

@Configuration
@WebListener
public class MyRequestContextListener extends RequestContextListener {
}

因为我们配置了RequestContextListener,所以在UserDetailService中可以直接访问request。

修改 AuthenticationFailureHandler

最后,我们修改自定义AuthenticationFailureHandler定制错误信息。
我们处理情节是当用户正好在被阻止登录的24小时内登录,我们通知用户被阻止IP超过登录最大限制。

@Component
public class CustomAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
 
    @Autowired
    private MessageSource messages;
 
    @Override
    public void onAuthenticationFailure(...) {
        ...
 
        String errorMessage = messages.getMessage("message.badCredentials", null, locale);
        if (exception.getMessage().equalsIgnoreCase("blocked")) {
            errorMessage = messages.getMessage("auth.message.blocked", null, locale);
        }
 
        ...
    }
}

总结

这只是初步实现防止恶意登录,还有改进的空间,产品级的应用应该会涉及除了阻止ip外的更多信息。

梦想画家
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security实现禁止用户重复登陆的配置原理
08-25
主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-security关闭登录
yi_chao_jiang的专栏
05-09 5944
事情要从同事的一个项目说起,项目中需要集成公司的单点登录系统,但是无论如何都无法跳转到正常的登录页面。相反,却始终跳转到另外一个登录页面。 但是代码却非常简单,简化一下 @Controller public class SecurityTestController { @GetMapping("/myLogin") public String login() { return "login"; } @GetMapping("/") public String homePag
68篇干货,手把手教你通关 Spring Security
最新发布
2401_84048290的博客
05-13 816
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Spring Security笔记:登录尝试次数限制
zzc1684的博客
09-08 844
今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次数。 首先对之前创建的数据库表做点小调整 一、表结构调整 T_USERS增加了如下3个字段: D_ACCOUNTNONEXPIRED,NUMBER(1) -- 表示帐号是否未过期D_A...
SpringSecurity的防Csrf攻击
qq_29860591的博客
03-02 362
CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行...
超详解(源码)SpringSecurity的认证过程!!
qq_42682745的博客
10-11 3052
文章目录AbstractAuthenticationProcessingFilter1.UsernamePasswordAuthenticationFilter的创建2.attemptAuthentication()方法整个认证过程梳理:1. 一号选手UsernamePasswordAuthenticationFilter2.二号选手ProviderManager3.三号选手DaoAuthenticationProvider(主力部队)4.四号选手SecurityContextPersistenceFilt
Spring Security实现验证码登录功能
08-25
验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序的攻击和恶意攻击。下面是Spring Security实现验证码登录功能的知识点: 知识点一:Spring Security验证码登录功能的实现原理 Spring ...
springsecurity验证码登录.rar
12-09
验证码是防止恶意自动登录尝试(如机器人或脚本)的有效手段,它要求用户在登录时输入显示的随机代码,确保是真实的人在操作。 在SpringSecurity中实现验证码功能,通常包括以下几个步骤: 1. **添加依赖**:首先...
springsecurity
07-23
8. **CSRF Protection**:为了防止跨站请求伪造攻击,Spring Security 提供了内置的CSRF令牌管理,确保每个修改状态的请求都带有有效的CSRF令牌。 9. **Exception Translation**:将安全相关的异常转换为HTTP响应...
springsecurity前端素材.zip
05-19
在本“springsecurity前端素材”中,我们有两个主要的文件夹:templates和static,它们分别代表了前端展示层的不同方面。 **templates** 文件夹通常包含了应用的HTML模板文件,这些文件被用于构建用户界面。在...
详解spring security安全防护
08-27
CSRF攻击(跨站请求伪造攻击)是一种欺骗受害者提交恶意请求的攻击,Spring Security提供了多种方式来防护CSRF攻击,包括使用同步器Token、启用CSRF Protection等。 同步器Token解决方案 同步器Token是一种推荐的...
spring security中限制用户登录次数超过限制的处理
jackyrongvip的专栏
09-20 5759
登录的时候,往往希望记录如果登录失败者的ip,并且登录失败次数超过一定的,则不给登录,予以封锁。在spring security中,可以通过如下方式实现。 1) 实现AuthenticationFailureEventListener,这个监听器用来监听 登录失败的事件。 [code="java"] @Component public class Authenticati...
认证事件(Authentication Events)
呜呼哈
04-05 1336
对于每个成功或失败的身份验证,将分别触发一个 AuthenticationSuccessEvent 或 AbstractAuthenticationFailureEvent 。 要侦听这些事件,你必须首先发布一个 AuthenticationEventPublisher,Spring Security 的 DefaultAuthenticationEventPublisher 可能会做得很好: @Bean public AuthenticationEventPublisher authenticationE
@Autowried注解和@Resource注解的区别
sinat_31155413的博客
06-21 4875
1、@Autowried 用来装配bean, 可作用于字段上, 也可以作用于setter方法上. 是Spring的注解. 默认情况下要求对象必须存在, 它要求依赖对象必须存在. 若允许null值, 可以设置它的required为false. 默认按照类型byType进行装配注入. 如果想按照名称进行装配的话, 需要与Qualifer注解搭配使用 如下: @Autowired @Qua...
oauth2统一认证授权
weixin_39271545的博客
06-24 3101
oauth2.0统一认证授权 1.认证与授权 ​ 最近学习整理了下认证授权相关实现,下面是大概的一些理解与学习过程。 ​ 在分布式系统中每个服务都需要认证,授权。如果每个服务都实现一套认证授权的逻辑就会显得冗余,考虑到分布式系统共享性的特点,我们可以独立一个授权服务出来,可以对内部系统或者第三方应用提供认证。 1.1统一认证授权: ​ 提供独立的认证服务,统一处理认证授权。不论是什么用户还是不同种类的客户端,例如小程序,APP,web,都采用一致的认证,权限,会话机制。 ​ 同时保持开放性,可以接入第三方外
SpringSecurity密码错误5次锁定用户
JesJiang的博客
09-27 5496
第一步:创建 AuthenticationSuccessEventListener.java 用来处理登录成功的事件。 import com.mlog.sd.data.dao.UserDao; import com.mlog.sd.data.domain.User; import org.springframework.beans.factory.annotation.Autowired; im...
SpringBoot Security用户认证成功或失败监听处理
花开半夏 · 流年似水
12-09 2656
Spring boot Security 用户认证成功失败事件监听器 ApplicationEvent以及ListenerSpring为我们提供的一个事件监听、订阅的实现,内部实现原理是观察者设计模式,设计初衷也是为了系统业务逻辑之间的解精,提高可扩展性以及可维护性。事件发布者并不需要考虑谁去监听,监听具体的实现内容是什么,发布者的工作只是为了发布事件而已。 一、@EventListener注解方式 注解方式比较简单不需要实现任何接口,代码如下: import org.springframework.co
SpringSecurity密码错误指定次数锁定用户---基于数据库实现
沧海一粟
07-04 2712
用户锁定数据库实现
SpringSecurity系列——身份验证事件:自定义成功、失败day5-2(源于官网5.7.2版本)
qq_51553982的博客
07-25 1298
技术版本jdk175.7.2SpringBoot2.7.2需要注册为组件(@Component)使用注解实现事件监听}}}
Spring Security 防止sql注入
09-08
Spring Security 本身不是用来防止 SQL 注入的,它是用来处理身份验证和授权的框架。然而,Spring Security 通常与其他组件一起使用,可以帮助我们防止 SQL 注入。 要防止 SQL 注入,我们可以采取以下几个步骤: 1. 使用参数化查询或预编译语句:确保所有数据库查询都使用参数化查询或预编译语句,而不是直接将用户输入拼接到查询语句中。这样可以防止恶意用户通过输入恶意的 SQL 代码来攻击数据库。 2. 输入验证和过滤:对于用户输入的数据,我们应该进行验证和过滤,确保只允许合法的字符和格式。可以使用正则表达式或其他验证机制来验证输入的数据。 3. 使用对象关系映射(ORM)工具:ORM 工具如 Hibernate 可以帮助我们将对象映射到数据库表,自动处理 SQL 查询和参数绑定。ORM 工具可以在内部处理 SQL 注入问题,并提供了一些安全性措施。 4. 最小化数据库权限:确保数据库用户只具有执行必要操作的最低权限。这样可以限制攻击者对数据库的访问和操纵。 总之,虽然 Spring Security 本身不提供针对 SQL 注入的特定功能,但结合其他防护措施和最佳实践,我们可以有效地防止 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值