继前两篇权限控制+gif验证码+记住我功能+信息查询缓存之后,这里介绍如何用redis实现密码次数限制。
1. 需要实现的功能
为了防止密码被暴力破解,采用redis对用户登录次数进行计数,如果超过5,则把用户锁定1小时,不让用户登录;
前端通过ajax告诉用户还有几次输错密码的机会;
2. 实现的domo展示
首先是登陆界面,之后我会连续让admin账号用错误的密码重复登陆
采用错误密码进行登陆,直到机会都用完
之后,再次尝试登陆时,会将用户锁定一个小时,并在session里保存该用户,每次登陆都会判断该用户是否被锁定,如果被锁定,就跳转到锁定页面,直到一个小时候,用户才能再次访问登陆界面
3.代码部分,在之前的基础上进行修改
主要是controller部分进行判断,在redis存入两个key,一个是对用户登录进行计数,一个是储存用户是不是lock,代码如下
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;
import javax.servlet.http.HttpServletRequest;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.session.Session;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframe