SpringSecurity账号锁定 + 用户登入登出日志记录

于 2023-12-21 15:36:29 发布
阅读量226 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39566521/article/details/135130991
版权

代码如下

/**
 * 登陆成功监听
 *
 */
@Component
public class AuthenticationSuccessEventListener implements ApplicationListener<AuthenticationSuccessEvent> {

    @Resource
    private IUserService userService;

    @Resource
    private ILoginLogService loginLogService;

    @Override
    public void onApplicationEvent(AuthenticationSuccessEvent authenticationSuccessEvent) {
        //登录成功认证
        UserDetails userDetails = (UserDetails) authenticationSuccessEvent.getAuthentication().getPrincipal();
        String username = userDetails.getUsername();
        User newUser = new User();
        newUser.setActive("true");
        newUser.setUserAccounts(username);
        newUser.setFailsCount(0);
        userService.authenticationUpdateUser(username, newUser);
        //写入登录日志
        //Object details = authenticationSuccessEvent.getAuthentication().getDetails();//默认的details
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();//使用自定义的details,因为默认的Details只能获取到IP,和sessionid,才想着重写WebAuthenticationDetails
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        User user = userService.findUser(username);
        LoginLog loginLog = new LoginLog();
        loginLog.setAccount(username);
        loginLog.setUserId(user.getId().toString());
        loginLog.setLoginIp(details.getRemoteAddress());
        loginLog.setLoginStatus("1");
        loginLogService.save(loginLog);
    }
}

/**
 * 登陆失败监听
 *
 */
@Component
public class AuthenticationFailureListener implements ApplicationListener<AuthenticationFailureBadCredentialsEvent> {

    @Resource
    private IUserService userService;

    @Resource
    private ILoginLogService loginLogService;

    @Override
    public void onApplicationEvent(AuthenticationFailureBadCredentialsEvent authenticationFailureBadCredentialsEvent) {
        String username = authenticationFailureBadCredentialsEvent.getAuthentication().getPrincipal().toString();
        User user = userService.findUser(username);
        //写入登录日志
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();//使用自定义的details
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        LoginLog loginLog = new LoginLog();
        loginLog.setAccount(username);
        loginLog.setUserId(user.getId().toString());
        loginLog.setLoginIp(details.getRemoteAddress());
        loginLog.setLoginStatus("-1");
        loginLogService.save(loginLog);

        if (user != null) {
            // 用户失败次数
            Integer fails = user.getFailsCount();
            if(fails==null){
                fails = 0;
            }
            fails++;
            // 超出失败5次,停用账户
            if (fails >= 5) {
                User newUser = new User();
                newUser.setActive("false");
                newUser.setUserAccounts(username);
                newUser.setFailsCount(fails);
                userService.authenticationUpdateUser(username, newUser);
                throw new BaseException("您的账号已被锁定,请联系管理员...");
            } else {
                User newUser = new User();
                newUser.setFailsCount(fails);
                newUser.setUserAccounts(username);
                userService.authenticationUpdateUser(username, newUser);
            }
        }
    }
}


/**
 * 退出登陆监听
 *
 */
@Component
public class LogoutSuccessListener implements ApplicationListener<LogoutSuccessEvent> {
    @Resource
    private IUserService userService;

    @Resource
    private ILoginLogService loginLogService;

    @Override
    public void onApplicationEvent(LogoutSuccessEvent event) {
        //退出登录监听
        //写入登录日志
        UserDetails userDetails = (UserDetails) event.getAuthentication().getPrincipal();
        String username = userDetails.getUsername();
        User user = userService.findUser(username);

        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();//使用自定义的details
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        LoginLog loginLog = new LoginLog();
        loginLog.setAccount(username);
        loginLog.setUserId(user.getId().toString());
        loginLog.setLoginIp(details.getRemoteAddress());
        loginLog.setLoginStatus("0");
        loginLogService.save(loginLog);
    }
}

重写WebAuthenticationDetails

import org.springframework.security.web.authentication.WebAuthenticationDetails;

import javax.servlet.http.HttpServletRequest;

public class MyWebAuthenticationDetails extends WebAuthenticationDetails {

    public String getRemoteAddr() {
        return remoteAddr;
    }

    public void setRemoteAddr(String remoteAddr) {
        this.remoteAddr = remoteAddr;
    }

    private String remoteAddr;


    public MyWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        remoteAddr = request.getRemoteAddr();//得到来访者的IP地址
//        String requestUrl = request.getRequestURL().toString();//得到请求的URL地址
//        String requestUri = request.getRequestURI();//得到请求的资源
//        String queryString = request.getQueryString();//得到请求的URL地址中附带的参数
//        String remoteAddr = request.getRemoteAddr();//得到来访者的IP地址
//        String remoteHost = request.getRemoteHost();
//        int remotePort = request.getRemotePort();
//        String remoteUser = request.getRemoteUser();
//        String method = request.getMethod();//得到请求URL地址时使用的方法
//        String pathInfo = request.getPathInfo();
//        String localAddr = request.getLocalAddr();//获取WEB服务器的IP地址
//        String localName = request.getLocalName();//获取WEB服务器的主机名
    }
}


import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
@Component
public class MyWebAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, MyWebAuthenticationDetails> {
    @Override
    public MyWebAuthenticationDetails buildDetails(HttpServletRequest context) {
        return new MyWebAuthenticationDetails(context);
    }
}

最后的问题就是如何用自定义的 MyWebAuthenticationDetailsSource 代替系统默认的 WebAuthenticationDetailsSource,很简单,我们只需要在 SecurityConfig 中稍作定义即可

@Autowired
MyWebAuthenticationDetailsSource myWebAuthenticationDetailsSource;
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            ...
            .and()
            .formLogin()
            .authenticationDetailsSource(myWebAuthenticationDetailsSource)
            ...
}

若代码中有写到
new WebAuthenticationDetailsSource().buildDetails(request)

那一定要改为new MyWebAuthenticationDetailsSource().buildDetails(request)

不然不起效

我的代码中是写了token认证,因为忽略了.buildDetails这里没有改成我们自定义的MyWebAuthenticationDetailsSource,找了半天bug

赠柳一枝春
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security实现多次登录失败后账户锁定功能
08-25
用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
springboot项目中:查看spring-security相关模块的日志
最新发布
coder184的博客
02-22 202
另外当你使用spring-security时, 遇到 401 或 403 错误,这时则需要启用日志记录,帮助了解详细的日志信息。Spring Security 在 DEBUG 和 TRACE 级别提供所有安全相关事件的全面日志记录。所以正常情况下,我们看不到spring-security相关模块的日志。这样设计是出于安全考虑。重新启动项目后,应用程序会记录下所有安全事件。
登录日志/操作日志AOP记录实现(续SpringSecurity
Stu_Shaw的博客
01-18 2152
Mr.Shaw
Security登录spring boot项目进行日志管理
qq_15145603的博客
07-05 594
Security登录spring boot项目添加日志记录ip,浏览器,操作系统...
SpringSecurity认证授权和整合项目
阿杰的博客
09-22 1541
Spring SecuritySpring 家族中的一个安全管理框架,应用程序的两个主要区域是“认证”和“授权”(或者访问控制)
Spring Security 6.x 系列【62】扩展篇之用户登录日志
记录知识、锤炼自我
06-28 874
日志对软件系统来说非常重要,可以根据日志进行状态监控,安全审计,程序调试等功能。用户登陆日志也非常重要,它用来记录用户在系统中进行登录的相关信息。
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
主要给大家介绍了关于Spring Boot整合Spring Security简单实现登入登出从零搭建的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
Spring security如何实现记录用户登录时间功能
08-24
主要介绍了Spring security如何实现记录用户登录时间功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
查询域用户锁定日志
qq_43091539的博客
09-22 1968
查询域用户锁定日志
springboot+security 记录用户操作日志
weixin_43828003的博客
03-06 119
数据库 SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for `sys_log` ...
锁定计算机的事件日志,域控制器记录安全日志审核失败 域账户锁定问题
weixin_42502345的博客
06-22 975
域账户经常被锁定,在windows 2008域控制器安全日志里有很多事件ID 4769 审核失败的记录,但是根据记录登录客户端服务器全盘查杀病毒,并未扫描出威胁。请各位帮忙分析一下原因。操作系统全部是windows server2008经过观察登录GUID全部一样:{00000000-0000-0000-0000-000000000000}日志名称: Security来源:...
Spring-Security学习日志
qq_48053850的博客
08-17 83
自定义登录界面,不需要认证就可访问 在配置类做相关配置 1.重写父类configure方法(HttpSecurity http) 2.写一个自定义登录的html页面,需要放入到resources/static文件夹下,因为是默认优先加载的 3.Controller 也新增一个首页请求,方便查看 4.此时访问/test/hello路径已经不需要登录我们就能直接访问到了 5.而访问/test/index,就会跳转到我们自定义的登录页面 6.此时登录成功后就会跳转到我们写的index请求 ...
SpringSecurity密码错误5次锁定用户
JesJiang的博客
09-27 5493
第一步:创建 AuthenticationSuccessEventListener.java 用来处理登录成功的事件。 import com.mlog.sd.data.dao.UserDao; import com.mlog.sd.data.domain.User; import org.springframework.beans.factory.annotation.Autowired; im...
聊聊spring security的账户锁定
weixin_34064653的博客
12-21 1110
序 对于登录功能来说,为了防止暴力破解密码,一般会对登录失败次数进行限定,在一定时间窗口超过一定次数,则锁定账户,来确保系统安全。本文主要讲述一下spring security的账户锁定UserDetails spring-security-core-4.2.3.RELEASE-sources.jar!/org/springframework/security/core/userdetails...
SpringSecurity权限管理系统实战—二、日志、接口文档等实现
CoderMy的博客
07-11 7476
上次我们已经搭建好了my-springsecurity-plus的基本环境,本次我们我们要实现功能有系统日志配置、配置swagger接口文档、配置druid连接池等
springmvc+hibnate+mysql实现用户登入登出日志
05-25
要实现用户登录登出日志记录,可以使用AOP(面向切面编程)技术,在用户登录退出的时候记录日志。 首先,需要在Spring配置文件中开启AOP支持: ``` <aop:aspectj-autoproxy /> ``` 然后,定义一个切面类来处理登录登出日志记录: ``` @Aspect public class LoginAspect { @Autowired private HttpServletRequest request; @Autowired private UserService userService; @Pointcut("execution(* com.example.controller.*Controller.login(..))") public void login() {} @Pointcut("execution(* com.example.controller.*Controller.logout(..))") public void logout() {} @AfterReturning("login()") public void afterLogin(JoinPoint joinPoint) { String username = (String) joinPoint.getArgs()[0]; User user = userService.getUserByUsername(username); String ip = request.getRemoteAddr(); String message = "User " + username + " logged in from " + ip; Log log = new Log(user.getId(), message); userService.saveLog(log); } @AfterReturning("logout()") public void afterLogout() { User user = (User) request.getSession().getAttribute("user"); String username = user.getUsername(); String ip = request.getRemoteAddr(); String message = "User " + username + " logged out from " + ip; Log log = new Log(user.getId(), message); userService.saveLog(log); } } ``` 在切面类中定义了两个切点,分别对应用户登录退出的方法。在用户登录后,通过参数获取用户名,再通过UserService获取用户信息和IP地址,最后记录日志。在用户退出后,从Session中获取用户信息,获取IP地址,记录日志。 最后,在Spring配置文件中配置切面类: ``` <bean class="com.example.aspect.LoginAspect" /> ``` 这样,在用户登录退出的时候,就会自动记录日志了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值