SpringSecurity账号锁定 + 用户登入登出日志记录

于 2023-12-21 15:36:29 发布
阅读量244 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39566521/article/details/135130991
版权

代码如下

/**
 * 登陆成功监听
 *
 */
@Component
public class AuthenticationSuccessEventListener implements ApplicationListener<AuthenticationSuccessEvent> {

    @Resource
    private IUserService userService;

    @Resource
    private ILoginLogService loginLogService;

    @Override
    public void onApplicationEvent(AuthenticationSuccessEvent authenticationSuccessEvent) {
        //登录成功认证
        UserDetails userDetails = (UserDetails) authenticationSuccessEvent.getAuthentication().getPrincipal();
        String username = userDetails.getUsername();
        User newUser = new User();
        newUser.setActive("true");
        newUser.setUserAccounts(username);
        newUser.setFailsCount(0);
        userService.authenticationUpdateUser(username, newUser);
        //写入登录日志
        //Object details = authenticationSuccessEvent.getAuthentication().getDetails();//默认的details
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();//使用自定义的details,因为默认的Details只能获取到IP,和sessionid,才想着重写WebAuthenticationDetails
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        User user = userService.findUser(username);
        LoginLog loginLog = new LoginLog();
        loginLog.setAccount(username);
        loginLog.setUserId(user.getId().toString());
        loginLog.setLoginIp(details.getRemoteAddress());
        loginLog.setLoginStatus("1");
        loginLogService.save(loginLog);
    }
}

/**
 * 登陆失败监听
 *
 */
@Component
public class AuthenticationFailureListener implements ApplicationListener<AuthenticationFailureBadCredentialsEvent> {

    @Resource
    private IUserService userService;

    @Resource
    private ILoginLogService loginLogService;

    @Override
    public void onApplicationEvent(AuthenticationFailureBadCredentialsEvent authenticationFailureBadCredentialsEvent) {
        String username = authenticationFailureBadCredentialsEvent.getAuthentication().getPrincipal().toString();
        User user = userService.findUser(username);
        //写入登录日志
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();//使用自定义的details
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        LoginLog loginLog = new LoginLog();
        loginLog.setAccount(username);
        loginLog.setUserId(user.getId().toString());
        loginLog.setLoginIp(details.getRemoteAddress());
        loginLog.setLoginStatus("-1");
        loginLogService.save(loginLog);

        if (user != null) {
            // 用户失败次数
            Integer fails = user.getFailsCount();
            if(fails==null){
                fails = 0;
            }
            fails++;
            // 超出失败5次,停用账户
            if (fails >= 5) {
                User newUser = new User();
                newUser.setActive("false");
                newUser.setUserAccounts(username);
                newUser.setFailsCount(fails);
                userService.authenticationUpdateUser(username, newUser);
                throw new BaseException("您的账号已被锁定,请联系管理员...");
            } else {
                User newUser = new User();
                newUser.setFailsCount(fails);
                newUser.setUserAccounts(username);
                userService.authenticationUpdateUser(username, newUser);
            }
        }
    }
}


/**
 * 退出登陆监听
 *
 */
@Component
public class LogoutSuccessListener implements ApplicationListener<LogoutSuccessEvent> {
    @Resource
    private IUserService userService;

    @Resource
    private ILoginLogService loginLogService;

    @Override
    public void onApplicationEvent(LogoutSuccessEvent event) {
        //退出登录监听
        //写入登录日志
        UserDetails userDetails = (UserDetails) event.getAuthentication().getPrincipal();
        String username = userDetails.getUsername();
        User user = userService.findUser(username);

        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();//使用自定义的details
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        LoginLog loginLog = new LoginLog();
        loginLog.setAccount(username);
        loginLog.setUserId(user.getId().toString());
        loginLog.setLoginIp(details.getRemoteAddress());
        loginLog.setLoginStatus("0");
        loginLogService.save(loginLog);
    }
}

重写WebAuthenticationDetails

import org.springframework.security.web.authentication.WebAuthenticationDetails;

import javax.servlet.http.HttpServletRequest;

public class MyWebAuthenticationDetails extends WebAuthenticationDetails {

    public String getRemoteAddr() {
        return remoteAddr;
    }

    public void setRemoteAddr(String remoteAddr) {
        this.remoteAddr = remoteAddr;
    }

    private String remoteAddr;


    public MyWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        remoteAddr = request.getRemoteAddr();//得到来访者的IP地址
//        String requestUrl = request.getRequestURL().toString();//得到请求的URL地址
//        String requestUri = request.getRequestURI();//得到请求的资源
//        String queryString = request.getQueryString();//得到请求的URL地址中附带的参数
//        String remoteAddr = request.getRemoteAddr();//得到来访者的IP地址
//        String remoteHost = request.getRemoteHost();
//        int remotePort = request.getRemotePort();
//        String remoteUser = request.getRemoteUser();
//        String method = request.getMethod();//得到请求URL地址时使用的方法
//        String pathInfo = request.getPathInfo();
//        String localAddr = request.getLocalAddr();//获取WEB服务器的IP地址
//        String localName = request.getLocalName();//获取WEB服务器的主机名
    }
}


import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
@Component
public class MyWebAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, MyWebAuthenticationDetails> {
    @Override
    public MyWebAuthenticationDetails buildDetails(HttpServletRequest context) {
        return new MyWebAuthenticationDetails(context);
    }
}

最后的问题就是如何用自定义的 MyWebAuthenticationDetailsSource 代替系统默认的 WebAuthenticationDetailsSource,很简单,我们只需要在 SecurityConfig 中稍作定义即可

@Autowired
MyWebAuthenticationDetailsSource myWebAuthenticationDetailsSource;
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            ...
            .and()
            .formLogin()
            .authenticationDetailsSource(myWebAuthenticationDetailsSource)
            ...
}

若代码中有写到
new WebAuthenticationDetailsSource().buildDetails(request)

那一定要改为new MyWebAuthenticationDetailsSource().buildDetails(request)

不然不起效

我的代码中是写了token认证,因为忽略了.buildDetails这里没有改成我们自定义的MyWebAuthenticationDetailsSource,找了半天bug

赠柳一枝春
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列【62】扩展篇之用户登录日志
记录知识、锤炼自我
06-28 894
日志对软件系统来说非常重要,可以根据日志进行状态监控,安全审计,程序调试等功能。用户登陆日志也非常重要,它用来记录用户在系统中进行登录的相关信息。
Spring security如何实现记录用户登录时间功能
08-24
主要介绍了Spring security如何实现记录用户登录时间功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security实现多次登录失败后账户锁定功能
08-25
用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
聊聊spring security的账户锁定
weixin_34064653的博客
12-21 1125
序 对于登录功能来说,为了防止暴力破解密码,一般会对登录失败次数进行限定,在一定时间窗口超过一定次数,则锁定账户,来确保系统安全。本文主要讲述一下spring security的账户锁定UserDetails spring-security-core-4.2.3.RELEASE-sources.jar!/org/springframework/security/core/userdetails...
Security登录spring boot项目进行日志管理
qq_15145603的博客
07-05 626
Security登录spring boot项目添加日志记录ip,浏览器,操作系统...
spring security3 记录用户登录成功后的登录时间
Java 是用来喝的
08-15 4498
原文摘自:http://www.hudixin.net/?p=47 很多现在都在困扰 ss3 如何记录用户登录时间 其实很简单下面我就一步一步告诉你们   找到 security 的配置文件,在xml文件中 找到 http 下的 form-login 添加一个属性 authentication-success-handler-ref   如示:      authenticati
如何记录SpringSecurity6.1中用户登录行为
最新发布
12-05 205
/ 记录方法的执行时间。* 扩展UsernamePasswordAuthenticationFilter类,实现日志功能。替换UsernamePasswordAuthenticationFilter类。(), null);// 改为自己写的类。
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
总结,本教程主要介绍了Spring Boot整合Spring Security的基础步骤,包括配置安全控制、实现用户认证、定制登录页面以及登出逻辑。通过这种方式,我们可以快速构建一个安全的Web应用,为用户提供安全的访问环境。...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
登录日志/操作日志AOP记录实现(续SpringSecurity
Stu_Shaw的博客
01-18 2168
Mr.Shaw
Spring-Security学习日志
qq_48053850的博客
08-16 83
1 day 1.引入依赖 推荐spring-boot依赖 spring-security依赖 2.随便写一个controller,比如: 3.启动项目,初始化的密码就是下图显示的那串 4.然后去访问,此时会发现已经被拦截了,那就输入默认的账号:user以及上面说过的默认密码 5.此时就能正确访问了,否则就是403 没有权限的 error ...
Spring-Security学习日志
qq_48053850的博客
08-18 164
配置自定义的403无权限页面 如果用户对某路径无权限,则会跳转到我们自定义的页面 配置登出,及注销用户(清除Cookies) 这是后面定义的登陆成功跳转页面,然后写一个登出的超链接,href只想配置类定义的路径 首次访问success.html,自动跳转登录页面 登陆成功展示 然后我们访问/test/index,能成功访问 此时我们再去success.html点击登出,跳转到登出的/test/hello 然后在访问/test/index,就会重新让你登录,说明我们的登出功能成功了 配置自
Spring-Security学习日志
qq_48053850的博客
08-18 146
注解实现权限 1.首先提一点@preAuthorize()是比较常用到的注解,不常用到的还有几个,这里就不细说了 2.在启动类或者配置类上加上注解,prePostEnabled=true开启@preAuthorize() 3.在controller里去使用注解,此处我们规定的add方法需要manager权限才能操作 4.此时我们为用户lisi给上manager的权限(登录权限记得也给上manager,不然没法登录) 然后开始测试,首先访问/test/add,自动跳转到登录页面,然后登录张三,发现是无
SpringBoot集成Spring Security(一)——添加用户操作日志
qq_40286424的博客
11-13 1453
在简单的登录注册入门SpringSecurity教程中添加日志功能。 原理:利用Spring Aop面向切面来获取信息。 步骤如下: 在原github上修改项目 1.添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId>
SpringSecurity权限管理系统实战—二、日志、接口文档等实现
CoderMy的博客
07-11 7508
上次我们已经搭建好了my-springsecurity-plus的基本环境,本次我们我们要实现功能有系统日志配置、配置swagger接口文档、配置druid连接池等
Spring Boot博客开发日常记录-套用Spring Security进行用户登录认证
Alden He
04-28 320
在之前的基础上,为了实现用户登录写文章的功能,加入了Spring Security进行用户认证登录,也就是SpringBoot+ Spring Security 1. 创建用户表 第一步就是删除上次创建的用户表,然后新建用户表 DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCRE...
SpringSecurity密码错误5次锁定用户
JesJiang的博客
09-27 5519
第一步:创建 AuthenticationSuccessEventListener.java 用来处理登录成功的事件。 import com.mlog.sd.data.dao.UserDao; import com.mlog.sd.data.domain.User; import org.springframework.beans.factory.annotation.Autowired; im...
springmvc+hibnate+mysql实现用户登入登出日志
05-25
要实现用户登录登出日志记录,可以使用AOP(面向切面编程)技术,在用户登录退出的时候记录日志。 首先,需要在Spring配置文件中开启AOP支持: ``` <aop:aspectj-autoproxy /> ``` 然后,定义一个切面类来处理登录登出日志记录: ``` @Aspect public class LoginAspect { @Autowired private HttpServletRequest request; @Autowired private UserService userService; @Pointcut("execution(* com.example.controller.*Controller.login(..))") public void login() {} @Pointcut("execution(* com.example.controller.*Controller.logout(..))") public void logout() {} @AfterReturning("login()") public void afterLogin(JoinPoint joinPoint) { String username = (String) joinPoint.getArgs()[0]; User user = userService.getUserByUsername(username); String ip = request.getRemoteAddr(); String message = "User " + username + " logged in from " + ip; Log log = new Log(user.getId(), message); userService.saveLog(log); } @AfterReturning("logout()") public void afterLogout() { User user = (User) request.getSession().getAttribute("user"); String username = user.getUsername(); String ip = request.getRemoteAddr(); String message = "User " + username + " logged out from " + ip; Log log = new Log(user.getId(), message); userService.saveLog(log); } } ``` 在切面类中定义了两个切点,分别对应用户登录退出的方法。在用户登录后,通过参数获取用户名,再通过UserService获取用户信息和IP地址,最后记录日志。在用户退出后,从Session中获取用户信息,获取IP地址,记录日志。 最后,在Spring配置文件中配置切面类: ``` <bean class="com.example.aspect.LoginAspect" /> ``` 这样,在用户登录退出的时候,就会自动记录日志了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值