mysql 用户 多次登录失败_SpringSecurity实现多次登录失败后账户锁定功能 | 学步园...

最新推荐文章于 2022-12-01 19:41:50 发布
最新推荐文章于 2022-12-01 19:41:50 发布
阅读量506 收藏 1
点赞数
文章标签: mysql 用户 多次登录失败
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42502537/article/details/114336186
版权

在上一次写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。

一、基础知识回顾

要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:

Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现UserDetails和UserDetailsService接口的方式告知Spring Security。具体的登录验证逻辑Spring Security 会帮助我们实现。 UserDetails接口中有一个方法叫做isAccountNonLocked()用于判断账号是否被锁定,也就是说我们应该通过该方法对应的set方法setAccountNonLocked(false)告知Spring Security该登录账户被锁定。 那么应该在哪里判断账号登录失败的次数并执行锁定机制呢?当然是我们之前文章给大家介绍的《自定义登录成功及失败结果处理》的AuthenticationFailureHandler。

建议您先阅读本文,如果您对本文的实现过程感到迷惑,建议您再翻看本号之前的相关内容。

二、实现多次登录失败锁定的原理

一般来说实现这个需求,我们需要针对每一个用户记录登录失败的次数nLock和锁定账户的到期时间releaseTime。具体你是把这2个信息存储在mysql、还是文件中、还是redis中等等,完全取决于你对你所处的应用架构适用性的判断。具体的实现逻辑无非就是:

登陆失败之后,从存储中将nLock取出来加1。 如果nLock大于登陆失败阈值(比如3次),则将nLock=0,然后设置releaseTime为当前时间加上锁定周期。通过setAccountNonLocked(false)告知Spring Security该登录账户被锁定。 如果nLock小于等于1,则将nLock再次存起来。 在一个合适的时机,将锁定状态重置为setAccountNonLocked(true)。

这是一种非常典型的实现方式,笔者向大家介绍一款非常有用的开源软件叫做:ratelimitj。这个软件的功能主要是为API访问进行限流,也就是说可以通过制定规则限制API接口的访问频率。那恰好登录验证接口也是API的一种啊,我们正好也需要限制它在一定的时间内的访问次数。

三、具体实现

首先需要将ratelimitj通过maven坐标引入到我们的应用里面来。我们使用的是内存存储的版本,还有redis存储的版本,大家可以根据自己的应用情况选用。

es.moki.ratelimitjratelimitj-inmemory0.4.1

之后通过继承SimpleUrlAuthenticationFailureHandler ,实现onAuthenticationFailure方法。该实现是针对登录失败的结果的处理,在我们之前的文章中已经讲过。

@Componentpublic class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //规则定义:1小时之内5次机会,就触发限流行为 Set rules = Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5)); RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { String userId = //从request或request.getSession中获取登录用户名 //计数器加1,并判断该用户是否已经到了触发了锁定规则 boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果触发了锁定规则,通过UserDetails告知Spring Security锁定账户 user.setAccountNonLocked(false); userDetailsManager.updateUser(user); SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此处省略通过response做json或html响应 }}

核心实现注意看代码中的注释

代码中的SysUser为UserDetails的实现类,如果不知道如何实现请参考本号之前的文章

userDetailsManager被用于管理UserDetails信息,通过改变UserDetails改变Spring Security验证行为。

四、重置锁定状态的时机

user.setAccountNonLocked(true);

重置锁定状态很简单,就是上面的代码。但是更重要的是如何选择重置锁定状态的时机。笔者能想到几种方案如下

下一次登陆的时候,自定义过滤器,加在Spring Boot过滤器链最前端做锁定状态重置的判断。 当登录账户被锁定之后,之后用户的每一次登录都会抛出LockedException。我们完全可以通过Spring Boot的全局异常捕获机制,在其中捕获LockedException,并做锁定状态的判断及重置行为。 写一个Spring 的定时器轮询,当然这是最差的方案。

总结

以上所述是小编给大家介绍的Spring Security实现多次登录失败后账户锁定功能,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

本文标题: Spring Security实现多次登录失败后账户锁定功能

以上就上有关SpringSecurity实现多次登录失败后账户锁定功能的全部内容,学步园全面介绍编程技术、操作系统、数据库、web前端技术等内容。

吴毅凡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL 8.0.19支持输入3次错误密码锁定账户功能(例子)
09-08
主要介绍了MySQL 8.0.19支持输入3次错误密码锁定账户功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Java中SpringSecurity密码错误5次锁定用户实现方法
08-31
主要介绍了Java中SpringSecurity密码错误5次锁定用户实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Spring Security实现多次登录失败账户锁定功能
08-25
用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败账户锁定功能,感兴趣的朋友一起看看吧
SpringSecurity密码错误指定次数锁定用户---基于数据库实现
沧海一粟
07-04 2535
用户锁定数据库实现
javaweb项目实现连续3次输错密码后禁止登录
Max的博客
08-10 2758
摘要:主要通过sql(oracle)实现连续X次输错密码后,禁止登录。Y小时或隔天后可以登录。 在javaweb项目的登录模块中经常会有连续X次输错密码后禁止登录的需求。这个功能可以通过多种方法来实现。本文只介绍以sql为主的方法,以供参考。 这是从实际项目中扒出来的代码,对一些变量名进行了处理,但是文中将包含全部核心代码。使用框架为struts2,ibatis。 需求:连续输入错误密码5次后,账号进入锁定状态,不可登录锁定状态将于1小时后,或者下一个自然日(0点)解除。 具体方法描述。 1.建一张表
java限制_Java限制可以重入次数的锁
weixin_42365539的博客
02-15 360
/*** l.k** 限制可以重入次数的锁,默认是2次**/public class ReenterLimitedLock implementsLock, java.io.Serializable {private static final long serialVersionUID = 7373984872572414699L;private finalSync sync;/*** Create...
连续三次登陆失败锁定账户
weixin_34218890的博客
03-23 2641
连续三次登录失败锁定账户 需求说明:1、输入用户名2、认证成功,提示登录成功,欢迎信息3、登录失败连续三次,提示失败,并退出程序备注:1、users_info是存放用户名及其密码的文件,格式: 用户名 密码, 之间用空格隔开2、locked_file是存放被锁定用户id的文件,默认为空,格式为: 用户名3、程序会对users_info里的合法用户id进行判断,若连续三次输入错误,提示失败并退出...
Node.js+Express+MySql实现用户登录注册功能
10-19
主要为大家详细介绍了Node.js+Express+MySql实现用户登录注册,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于SpringBoot+Vue+ElementUI+MySql实现的多用户博客管理平台,功能完整、界面美观、包含完整源代码
01-04
Vue+SpringBoot实现的多用户博客管理平台! 后端技术栈 后端主要采用了: 1.SpringBoot 2.SpringSecurity 3.MyBatis 4.部分接口遵循Restful风格 5.MySQL 前端主要采用了: 1.Vue 2.axios 3.ElementUI 4.vue-...
toutiao8.zip_MYSQL_redis_spring boot_springboot_头条资讯
07-13
类极客头条资讯网站 项目基于Maven、 Spring Boot和MySQL数据库搭建后台框架,持久层框架使用MyBatis,使用Junit进行项目的测试工作。设计并实现注册登录,资讯,消息,踩赞等模块。
登陆三次失败锁定不给登陆
dingzhukun的博客
08-20 675
登陆三次失败锁定不给登陆。 这里主要的实现方式是数据库表+代码。当然这种方式适合练练手,还有一种更简便的就是用缓存实现,代码节省很多。 基本逻辑是登陆失败累计次数。三次抛出限制定语。 限定根据当前时间和数据库锁定时间进行判断是否解锁。 最后数据状态修改为0. 代码 public Yhxx getLogin(String userName, String pwd) throws Ser...
用java实现用户登录次数过多被锁定
qq_43700270的博客
03-30 4762
用户登录次数超过3次被锁定1分钟前言1.controller层2.页面部分 前言 在SSM+Redis的前提下实现登录,把登录的session放到redis数据库中,减少访问数据库的次数。由于redis刚接触,感觉自己写的不是很好,可以参考SSM整合Redis。 以下内容是我自己做的一个小练习,仅供参考,仅供参考,仅供参考。 下面直接贴出我controller层的代码 1.controller层 ...
随书笔记之一分钟内连续登录超过3次就锁定账号
zhangxiaomin1992的专栏
09-12 1050
随书笔记
账号登录,设置密码锁(一小时内错误3次账号锁定无法登录)
weixin_43585257的博客
06-22 624
springboot登录,主要是设置密码锁.一小时内连续密码错误输入3次,账号锁定.待时间结束后方可重新登录
java 修改登录密码错误_javaweb项目实现连续3次输错密码后禁止登录
weixin_42342882的博客
02-16 1241
摘要:主要通过sql(oracle)实现连续X次输错密码后,禁止登录。Y小时或隔天后可以登录。在javaweb项目的登录模块中经常会有连续X次输错密码后禁止登录的需求。这个功能可以通过多种方法来实现。本文只介绍以sql为主的方法,以供参考。这是从实际项目中扒出来的代码,对一些变量名进行了处理,但是文中将包含全部核心代码。使用框架为struts2,ibatis。需求:连续输入错误密码5次后,账号进入...
JAVA实现用户登录错误N次后,账户暂时锁定
洛阳泰山的博客
12-01 4854
本次要实现的需求是,用户登录错误,输入密码错误N次后,实现用户锁定,让用户等待一段时间后重新登录,目的是为了防止黑客暴力破解用户密码。
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法
05-03
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法,并附有10kv配电网数据,利用新的判别手段,成功解决配电网不收敛的问题.rar
node-v5.3.0.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ASP+ACCESS网上林设计(源代码+设计说明书).zip
05-03
ASP+ACCESS网上林设计(源代码+设计说明书).zip
java连接mysql数据库实现登录注册_java利用jdbc连接Mysql数据库——实现登录注册功能...
05-27
好的,我会尽量回答你的问题。关于Java连接MySQL数据库实现登录注册功能,以下是一个简单的实现步骤: 1.下载并安装MySQL数据库,安装完成后,创建一个名为“test”的数据库。 2.下载并安装JDBC驱动程序,将下载的JDBC驱动程序的jar包添加到项目的classpath中。 3.编写Java代码,实例化JDBC驱动程序,连接MySQL数据库,创建用户表,实现用户的注册和登录功能。 以下是一个简单的Java代码示例: ``` import java.sql.*; public class JdbcTest { public static void main(String[] args) { // 数据库连接信息 String url = "jdbc:mysql://localhost:3306/test?useSSL=false&serverTimezone=UTC"; String username = "root"; String password = "123456"; // 注册JDBC驱动程序 try { Class.forName("com.mysql.cj.jdbc.Driver"); } catch (ClassNotFoundException e) { System.out.println("找不到JDBC驱动程序!"); e.printStackTrace(); return; } // 连接MySQL数据库 Connection conn = null; try { conn = DriverManager.getConnection(url, username, password); } catch (SQLException e) { System.out.println("连接MySQL数据库失败!"); e.printStackTrace(); return; } // 创建用户表 Statement stmt = null; try { stmt = conn.createStatement(); String sql = "create table if not exists user(id int primary key auto_increment, username varchar(50) not null, password varchar(50) not null)"; stmt.executeUpdate(sql); } catch (SQLException e) { System.out.println("创建用户失败!"); e.printStackTrace(); return; } finally { if (stmt != null) { try { stmt.close(); } catch (SQLException e) { e.printStackTrace(); } } } // 用户注册 PreparedStatement pstmt = null; try { String sql = "insert into user(username, password) values (?, ?)"; pstmt = conn.prepareStatement(sql); pstmt.setString(1, "user1"); pstmt.setString(2, "123456"); pstmt.executeUpdate(); } catch (SQLException e) { System.out.println("用户注册失败!"); e.printStackTrace(); return; } finally { if (pstmt != null) { try { pstmt.close(); } catch (SQLException e) { e.printStackTrace(); } } } // 用户登录 ResultSet rs = null; try { String sql = "select * from user where username=? and password=?"; pstmt = conn.prepareStatement(sql); pstmt.setString(1, "user1"); pstmt.setString(2, "123456"); rs = pstmt.executeQuery(); if (rs.next()) { System.out.println("用户登录成功!"); } else { System.out.println("用户名或密码错误!"); } } catch (SQLException e) { System.out.println("用户登录失败!"); e.printStackTrace(); } finally { if (rs != null) { try { rs.close(); } catch (SQLException e) { e.printStackTrace(); } } if (pstmt != null) { try { pstmt.close(); } catch (SQLException e) { e.printStackTrace(); } } } // 关闭数据库连接 try { conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } ``` 在上面的代码中,我们先注册了JDBC驱动程序,然后连接了MySQL数据库,接着创建了一个名为“user”的用户表,实现用户的注册和登录功能。你可以根据自己的需求修改代码中的数据库连接信息和SQL语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值