SpringSecurity下,使用Redis实现验证码验证,用户错误登陆次数限制,锁定/释放用户

最新推荐文章于 2023-08-17 13:55:34 发布
最新推荐文章于 2023-08-17 13:55:34 发布
阅读量2.9k 收藏 13
点赞数
分类专栏: springsecurity Redis 文章标签: java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42105629/article/details/104657127
版权
本文介绍了如何在SpringSecurity中利用Redis实现验证码验证和用户登录错误控制。通过Redis存储验证码和错误登录次数,当错误达到一定次数时,系统将锁定用户并设置自动释放机制。详细探讨了接口设计、验证码逻辑和错误登录控制策略。
摘要由CSDN通过智能技术生成

SpringSecurity下,使用Redis实现验证码验证,用户错误登陆次数限制,锁定/释放用户

写在前面

本篇涉及两个场景

  • 验证码验证逻辑
  • 错误登录控制(锁定/释放用户)

本篇只是对这两种场景的一种实现,可供参考,还有别的实现方式,可自行学习探索、使用

一、接口设计

1.1、验证码接口

在这里插入图片描述

1.2、登陆接口

在这里插入图片描述

二、验证码验证逻辑

2.1、验证码生成,几种生成方式可供参考,参考链接

参考中都是写到文件,实际使用时,是请求验证码生成接口,接口响应写到输出流到页面

/**
 * 生成验证码
 */
@RestController
public class CaptchaImageController {
   

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @GetMapping("/code/image")
    public ResultBean createCode(String captchaId, HttpServletRequest request, HttpServletResponse response) throws IOException {
   

        if (StringUtil.isNullStr(captchaId)) {
   
            return ResultBean.error(CodeEnum.CUSTON_ERROR, "缺少参数");
        }

        // 设置大小,以及位数
        SpecCaptcha specCaptcha = new SpecCaptcha(129, 48, 4);
        // 设置字体
        specCaptcha.setFont(new Font("Times New Roman", Font.ITALIC, 34));
        // 设置类型
        specCaptcha.setCharType(Captcha.TYPE_NUM_AND_UPPER);

        stringRedisTemplate.opsForValue().set(
                RedisKeyGen.getCaptcha(captchaId),
                specCaptcha.text(),
                60,
                TimeUnit.SECONDS)
最低0.47元/天 解锁文章
Tonels
关注
专栏目录
Spring Security--自定义过滤器拦截多次错误登录,阻止登录
大风起兮云飞扬
01-16 2387
前提 因为Spring Security没有对登录接口的错误次数限制,所以登录接口可以被频繁访问。因为内部具体是通过UsernamePasswordAuthenticationFilter.java实现登录逻辑的,所以每一次的登录请求其实都请求了数据库。故提出登录次数限制错10次以上则3分钟之内不允许登录。 分析 1 Spring Security允许自定义filter并将filter插入到Spring Security的过滤器链中且可插入指定的某个过滤器前面或者后面。 2 将错误次数以及多长时间不允许
SpringSecurity密码错误指定次数锁定用户---基于数据库实现
沧海一粟
07-04 2919
用户锁定数据库实现
JavaSpringSecurity密码错误5次锁定用户实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
SpringSecurity整合SpringSession-Redis 限制用户登录
Life is a starting point everywhere
12-03 1158
前言: 开发的前后端分离的项目,后端用的是SpringSecurity控制权限,而后整合了SpringSession - Redis,将Session放到redis支持集群部署,最近需要做一个限制用户登录的功能,即单个用户同一时刻仅能一处登录,SpringSecurity很好的支持了这个功能,但是集成了SpringSession-Redis之后,过程非常的精彩! 首先看一下SpringSecuri...
SpringSecurity密码错误5次锁定用户
JesJiang的博客
09-27 5571
第一步:创建 AuthenticationSuccessEventListener.java 用来处理登录成功的事件。 import com.mlog.sd.data.dao.UserDao; import com.mlog.sd.data.domain.User; import org.springframework.beans.factory.annotation.Autowired; im...
springboot+spring security+redis实现登录权限管理
午后苦咖啡
11-11 2954
笔者负责的电商项目的技术体系是基于SpringBoot,为了实现一套后端能够承载ToB和ToC的业务,需要完善现有的权限管理体系。 在查看Shiro和Spring Security对比后,笔者认为Spring Security更加适合本项目使用,可以总结为以下2点: 1、基于拦截器的权限校验逻辑,可以针对ToB的业务接口来做相关的权限校验,以笔者的项目为例,ToB的接口请求路径以/openshop...
spring boot 使用 spring security + redis 进行登录 及 权限验证
AmbroseLe
07-03 4485
目录 filter 过滤器 相关的工具类 安全服务工具类 客户端工具类 字符串工具类 handle处理类 认证失败处理类 返回未授权 自定义退出处理类 返回成功 service LoginService 通用常量信息 自定义异常 基础异常 用户信息异常类 验证码错误异常类 验证码失效异常类 用户密码不正确或不符合规范异常类 异步任务管理器 异步工厂(产生任务用) 获取i18n资源文件 自定义权限实现 用户权限处理 token验证处理 用户验证处理 co.
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_54850467的博客
07-28 949
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
Spring Security 中定义多种登录方式,比如邮箱、手机验证码登录
xxxzzzqqq_的博客
03-21 3676
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证码登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
Spring Security实现多次登录失败后账户锁定功能
08-25
用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
java短信验证码获取次数限制实例
08-28
主要介绍了java短信验证码获取次数限制实例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java 登录次数限制_Spring Security笔记:登录尝试次数限制
weixin_35600369的博客
02-18 892
今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次数。首先对之前创建的数据库表做点小调整一、表结构调整T_USERS增加了如下3个字段:D_ACCOUNTNONEXPIRED,NUMBER(1) -- 表示帐号是否未过期D_ACCOUNTNONLOC...
springBoot2.X+spring security5.3.8+redis整合用户登录权限控制
architecture_upper的博客
05-13 346
springBoot2.X+spring security5.3.8+redis整合用户登录权限控制主要功能点介绍重要代码片段 主要功能点介绍 1.权限过滤 2.改造attemptAuthentication,重写该方法目的在于支持JSON格式提交登录信息。 3.验证后的返回信息均实现相应接口重写相应方法,以JSON格式返回前端。 4.会话管理,session并发控制过滤器,限制同一账号同时登录数量。 5.针对集群部署场景,通过redis实现session共享。 重要代码片段 package com.hex
Spring项目使用Redis限制用户登录失败的次数以及暂时锁定用户登录权限
最新发布
openallzzz
08-17 2836
登录业务预先判断了该账号是否被锁定,如果短期内有大量登录请求(用户不断试错、被恶意攻击),压力只会给到Redis,从而避免DB被大量请求打中。
spring中"投机取巧"地限制 用户同时登陆
乔志勇笔记
04-23 1202
公众号原创文章 开发背景:项目中采用spring session + spring security 方式做登陆注册 ,现在要求后台用户只能同时一个人登陆 苦难的经历:spring security 框架比较重,难以 快速深入理解, 另外 网上 spring security 如何限制 用户同时登陆 的 文章 又是 一大堆,只想抱着试试看的态度快速成功,可 在项目中 实践 配置 好多种...
Spring Security限制登录尝试次数示例
一名可爱的技术搬运工
05-25 1180
在本教程中,我们将向您展示如何在Spring Security限制登录尝试,这意味着,如果用户尝试使用无效密码登录超过3次,系统将锁定用户,使其无法再次登录。 使用的技术和工具: 春天3.2.8。发布 Spring Security 3.2.3发布 Spring JDBC 3.2.3.RELEASE Eclipse 4.2 JDK 1.6 Maven 3...
springsecurity 登录失败 次数_Spring Security之多次登录失败后账户锁定功能的实现...
weixin_28716723的博客
01-25 1268
Spring Security之多次登录失败账户锁定功能的实现在上一次写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。一、基础知识回顾要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Securi...
springsecurity 登录失败 次数_SpringSecurity系列之自定义登录验证成功与失败的结果处理...
weixin_35726374的博客
01-25 549
一、需要自定义登录结果的场景在我之前的文章中,做过登录验证流程的源码解析。其中比较重要的就是当我们登录成功的时候,是由AuthenticationSuccessHandler进行登录结果处理,默认跳转到defaultSuccessUrl配置的路径对应的资源页面(一般是首页index.html)。 当我们登录失败的时候,是由AuthenticationfailureHandler进行登录结果处理,默...
使用Spring SecurityRedis实现用户登录以及权限控制,介绍下细节
05-21
使用Spring SecurityRedis实现用户登录以及权限控制可以考虑以下细节: 1. 用户登录验证Spring Security提供了多种方式进行用户身份验证,可以选择基于表单登录、基于HTTP Basic认证、基于OAuth2等方式。在基于表单登录的方式中,可以通过实现UserDetailsService接口加载用户信息,或者使用自定义的AuthenticationProvider实现身份验证逻辑。在验证成功后,可以生成并返回JWT token作为用户的凭证。 2. JWT token管理:使用Redis进行JWT token的管理可以考虑将token作为key,用户信息作为value存储在Redis中。在token失效之前,可以通过Redis中的key检查token是否有效,或者通过设置token的过期时间来管理token的有效期。 3. 权限控制:Spring Security提供了基于角色的权限控制和基于资源的权限控制两种方式。可以通过自定义AccessDecisionManager实现权限决策逻辑,或者通过使用注解@EnableGlobalMethodSecurity实现方法级别的权限控制。 4. CSRF保护:Spring Security提供了基于Cookie和基于Header的CSRF保护方式。可以通过在前端页面中添加隐藏的_csrf字段和在后端配置CsrfTokenRepository实现CSRF保护。 5. 安全配置:可以通过配置WebSecurityConfigurerAdapter和HttpSecurity实现对登录、注销、记住我等安全相关的行为进行定制。 以上是使用Spring SecurityRedis实现用户登录以及权限控制的一些细节,需要根据具体的需求进行定制化实现
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值