Google GuavaCache将本地数据缓存到JVM内存,轻松修复账密暴力破解漏洞

最新推荐文章于 2024-09-22 10:55:04 发布
最新推荐文章于 2024-09-22 10:55:04 发布
阅读量913 收藏 6
点赞数 26
分类专栏: java 缓存 SpringBoot 文章标签: 缓存 jvm java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42925623/article/details/141935402
版权
SpringBoot 同时被 3 个专栏收录
17 篇文章 1 订阅
订阅专栏
java
13 篇文章 0 订阅
订阅专栏
缓存
1 篇文章 0 订阅
订阅专栏

文章目录

前言

在登录模块出现暴力碰撞测试的安全漏洞时,我们最常见的方案就是需要记录账密错误,当达到一定错误阈值(比如5次)时,就会锁定该账号一定时间(如10分钟),等到锁定时间过了之后再允许用户继续登录,这样就能有效的抵御恶意暴力破解系统登录账号密码。
而具体实现又有很多种方式,最常见的就是如果系统框架引入了redis分布式缓存,就可以直接将信息缓存到redis中;也可以直接将错误次数,错误时间持久化到数据库中,每次登录校验账密之前都从数据库中查出来做判断逻辑;而今天我们讨论的是最简单的本地缓存方式,利用GuavaCache将本地数据缓存到JVM内存中,实现简单的本地数据缓存。

一、暴力破解漏洞描述

暴力破解-攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力破解系统用户名及密码,如果暴力破解成功,攻击者可以登录到系统进行管理和查看网站敏感信息。

二、Guava cache简介

Guava cache是一个支持高并发的线程安全的本地缓存。多线程情况下也可以安全的访问或者更新Cache。这些都是借鉴了ConcurrentHashMap的结果,不过,guava cache 又有自己的特性 :

“automatic loading of entries into the cache”

即 :当cache中不存在要查找的entry的时候,它会自动执行用户自定义的加载逻辑,加载成功后再将entry存入缓存并返回给用户未过期的entry,如果不存在或者已过期,则需要load,同时为防止多线程并发下重复加载,需要先锁定,获得加载资格的线程(获得锁的线程)创建一个LoadingValueRefrerence并放入map中,其他线程等待结果返回。

三、GuavaCache本地缓存实现

1.测试实现方法

代码如下(示例):

package com.dd.pp.user.auth.server;

import com.google.common.cache.CacheBuilder;
import com.google.common.cache.CacheLoader;
import com.google.common.cache.LoadingCache;
import lombok.Synchronized;
import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;

import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;

/**
 * @Author:张绪升
 * @Date:2024/8/30 11:19
 */
//@SpringBootTest
 @Slf4j
public class GuavaCacheTest {

    // 使用Guava Cache来存储用户名和解锁时间
    private LoadingCache<String, Integer> userLockUntilTimes;


    // 初始化一个缓存实例
    public void userLockService(int lockDurationMinutes, int maximumSize) {
        this.userLockUntilTimes = CacheBuilder.newBuilder()
                .expireAfterAccess(lockDurationMinutes, TimeUnit.SECONDS)
                .maximumSize(maximumSize)
                .build(new CacheLoader<String, Integer>() {
                    @Override
                    public Integer load(String key) throws Exception {
                        // 初始化时间为0,表示用户未被锁定
                        return 0;
                    }
                });
    }


    /**
     * 验证用户密码是否正确,如果错误,查询缓存中最新错误次数,并执行+1操作后更新缓存数据
     * @param userName 用户名
     * @param password 密码
     * @param lockDurationMinutes 锁定时间(分钟)
     * @return 是否锁定用户
     */
    @Synchronized
    public boolean validatePassword(String userName, String password) throws ExecutionException {
        // 假设checkPassword是检查密码的方法
        boolean isPasswordCorrect = checkPassword(userName, password);
        Integer count = 0;
        if (!isPasswordCorrect) {
            count = userLockUntilTimes.get(userName);
            // 如果密码错误,将用户名加入缓存
            count ++;
            userLockUntilTimes.put(userName, count);
            log.info("错误次数:" + count);
        }
        return !isPasswordCorrect;
    }

    /**
     * 检查用户是否被锁定
     * @param userName 用户名
     * @return 是否被锁定
     */
    public boolean isUserLocked(String userName) throws ExecutionException {
        //密码第4次错误
        Integer count = userLockUntilTimes.get(userName);
        if (count > 3){
            // 如果错误次数大于3,用户被锁定
            return true;
        }
        // 用户未被锁定或者锁定已过期
        return false;
    }

    // 模拟检查密码的方法
    private boolean checkPassword(String userName, String password) {
        // 实际情况应该查询数据库或者其他认证系统
        return "correctPassword".equals(password);
    }

    // 模拟输入错误帐密的登录请求
    @Test
    public void passwordTest() throws ExecutionException {
        boolean isError;
        boolean isLocked;
        String userName = "user1";
        String password = "wrongPassword";
        Integer errorCount = userLockUntilTimes.get(userName);
        if (errorCount > 3){
            log.info("用户已锁定,请稍后再试!");
        }else {
            isError = this.validatePassword(userName, password);
            isLocked = this.isUserLocked(userName);
            if (!isError){
                log.info("用户登录成功");
            }
            else if (isError && !isLocked) {
                log.info("用户密码错误");
            }
            else if (isError && isLocked) {
                log.info("用户已锁定,请稍后再试");
            }
        }

    }

    // 模拟输入正确帐密的登录请求
    @Test
    public void passwordTrue() throws ExecutionException {
        boolean isError;
        boolean isLocked;
        String userName = "user1";
        String password = "correctPassword";
        Integer errorCount = userLockUntilTimes.get(userName);
        log.info("当前错误次数:{}", errorCount);
        if (errorCount > 3){
            log.info("用户已锁定,请稍后再试!");
        }else {
            isError = this.validatePassword(userName, password);
            isLocked = this.isUserLocked(userName);
            if (!isError){
                log.info("用户登录成功");
            }
            else if (isError && !isLocked) {
                log.info("用户密码错误");
            }
            else if (isError && isLocked) {
                log.info("用户已锁定,请稍后再试");
            }
        }

    }

    // 模拟多线程登录操作
    private void newThreadRun(){
        Thread thread = new Thread(new Runnable() {
            @Override
            public void run() {
                try {
                    log.info("passwordTest starting");
                    Thread.sleep(100);
                    passwordTest();
                } catch (ExecutionException e) {
                    throw new RuntimeException(e);
                } catch (InterruptedException e) {
                    throw new RuntimeException(e);
                }
            }
        });
        thread.start();
    }

    private void newThreadRunTrue(){
        Thread thread = new Thread(new Runnable() {
            @Override
            public void run() {
                try {
                    log.info("passwordTrue starting");
                    Thread.sleep(100);
                    passwordTrue();
                    log.info("passwordTrue end");

                } catch (ExecutionException e) {
                    throw new RuntimeException(e);
                } catch (InterruptedException e) {
                    throw new RuntimeException(e);
                }
            }
        });
        thread.start();
    }
    
   /*
    * 模拟多次登录,连续输入错误密码四次,第四次错误会提示用户用户已锁定,
    * 10s之后缓存失效,用户自动解锁再输入正确账密登录一次
    */
    @Test
    void loginTest() throws ExecutionException, InterruptedException {
        // 过期时间10s,缓存数量最多1000个
        this.userLockService(10, 1000);
        // 第一次登录失败
        newThreadRun();
        // 第二次登录失败
        newThreadRun();
        // 第三次登录失败
        newThreadRun();
        // 第四次登录失败
        newThreadRun();
        log.info("休眠20s开始");
        Thread.sleep(20000);
        log.info("休眠20s结束");
        // 第五次登录成功
        newThreadRunTrue();
        log.info("模拟登录结束");
    }
}

运行loginTest()方法中的逻辑,就能模拟实现账密错误多次账号锁定的逻辑。
运行打印记录如下:
在这里插入图片描述

2.实现类方法

为了便于维护和扩展,实际使用的时候最好是把初始化的逻辑放到实现类中,方便代码调用。
IGuavaCacheService接口类:

package com.dd.pp.user.auth.server.service;
import com.google.common.cache.LoadingCache;

/**
 * @Author:
 * @Date:2024/8/30 18:18
 */
public interface IGuavaCacheService {
    LoadingCache<String, Integer> userLockService();
}

GuavaCacheServiceImpl实现类:

package com.dd.pp.user.auth.server.service.impl;

import com.dd.pp.user.auth.server.service.IGuavaCacheService;
import com.google.common.cache.CacheBuilder;
import com.google.common.cache.CacheLoader;
import com.google.common.cache.LoadingCache;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;

import java.util.concurrent.TimeUnit;

/**
 * @Author:
 * @Date:2024/8/30 18:20
 */
@Service
@Slf4j
public class GuavaCacheServiceImpl implements IGuavaCacheService {
    //私有化构造函数以防止外部调用实例化

    private GuavaCacheServiceImpl() {}

    /*
    * 缓存初始化
    * 实例过期时间5分钟,最大缓存数量1000
    **/

    private static final LoadingCache<String, Integer> LOADING_CACHE = CacheBuilder.newBuilder()
        .expireAfterAccess(300, TimeUnit.SECONDS)
        .maximumSize(1000)
        .build(new CacheLoader<String, Integer>() {
            @Override
            public Integer load(String key) throws Exception {
                // 初始化时间为0,表示用户未被锁定
                return 0;
            }
        });


    @Override
    public synchronized LoadingCache<String, Integer> userLockService() {
        return LOADING_CACHE;
    }
}

使用时,注入IGuavaCacheService ,然后调用类的userLockService()方法,即可获得一个缓存实例。

总结

本文主要讨论了Google GuavaCache将本地数据缓存到JVM内存的实现方法,通过本地缓存数据的方式也能轻松修复账密暴力破解漏洞。

通道已损坏
关注
专栏目录
Google Guava学习 -Guava cache
b_just的博客
03-15 245
谷歌Guava缓存 Guava介绍 GuavaGoogle guava中的一个内存缓存模块,用于将数据缓存JVM内存中。实际项目开发中经常将一些公共或者常用的数据缓存起来方便快速访问。 Guava Cache是单个应用运行时的本地缓存。它不把数据存放到文件或外部服务器。如果不符合需求,可以选择Memcached、Redis等工具。 @Component public class LocalCache { private Cache<String,Object> ...
重新认识下JVM级别的本地缓存框架Guava Cache(2)——深入解读其容量限制与数据淘汰策略
BASK2312的博客
11-06 535
在实际的使用中,我们倒也无需过于关注数据过期是否有被从内存中真实移除这一点,因为Guava Cache会在保证业务数据准确的情况下,尽可能的兼顾处理性能,在该清理的时候,自会去执行对应的清理操作,所以也无需过于担心。当容器内的缓存数量接近(注意是接近、而非达到)设定的最大阈值的时候,会触发guava cache数据清理机制,会基于LRU或FIFO删除一些不常用的key-value键值对。,但在插入第3条记录的时候,缓存容器还是自动将最初写入的key1记录给移除了,挪出了空间用于新的数据的插入。
Google Guava Cache简介
weixin_43739821的博客
07-10 925
Google Guava Cache简介 和Redis的区别
Guava Cache_谷歌工具包 缓存
最新发布
2401_87361276的博客
09-22 312
它使用了建造者设计模式,利用CacheBuilder中间对象去传入值,使用build方法去实例化对象,build方法不会更改此CacheBuilder实例的状态,因此可以再次调用它以创建多个独立缓存
Google Guava Cache的使用
有问题请发邮箱dengyifanlittle@163.com进行讨论
08-22 1257
Google Guava CacheGoogle Guava库中的一个缓存框架,用于缓存计算结果、数据或资源,提高程序访问效率和响应速度。Guava Cache具有以下特点:①可配置性:Guava Cache支持多种缓存参数的配置,例如缓存大小、过期时间、访问策略等,可以根据应用场景进行灵活配置。②基于引用计数的回收策略:Guava Cache使用基于引用计数的回收策略,当缓存对象的引用计数为0时自动回收,避免了内存泄漏。
Google Guava 缓存工具使用详解
骑个小蜗牛的博客
12-03 5991
缓存工具 Cache接口 LoadingCache接口 CacheBuilder类 CacheLoader类 CacheStats类 RemovalListener类
Google Guava Cache高效本地缓存
纸上得来终觉浅,绝知此事要躬行
04-04 2643
Guava Cache缓存 Guava CacheGoogle Fuava中的一个内存缓存模块,用于将数据缓存JVM内存中。 提供了get、put封装操作,能够集成数据源 ; 线程安全的缓存,与ConcurrentMap相似,但前者增加了更多的元素失效策略,后者只能显示的移除元素; Guava Cache提供了多种基本的缓存回收方式 监控缓存加载/命中情况 通常,Guava缓存适用于以下情况: 愿意花费一些内存来提高速度。 使用场景有时会多...
google guava缓存
//Case
07-30 208
<dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>23.0</version> </dependency> LoadingCache<String, User> loadingCache = CacheBuilder.newBuilder() /
Java内存缓存工具Guava LoadingCache使用解析
08-25
Guava Cache是单个应用运行时的本地缓存,用于将数据缓存JVM内存中,提高应用程序的性能和效率。本文将详细介绍Guava LoadingCache的使用解析,包括其优点、缺点、使用场景、配置参数等方面。 Guava LoadingCache...
Guava cache缓存实践
小黑说Java
12-28 404
在我们日常开发中,如果某些数据会频繁的进行读取,并且很少会做修改,我们一般会对这些数据进行缓存,来提高读取的速度。 使用缓存之所以能提高性能,是因为读取的速度比从磁盘或数据库中读取的速度更高。 但是使用缓存并不是全部都是好处,因为存放缓存数据的空间一般都是CPU内存,或者Redis等,它们的空间更宝贵,是典型的空间换时间,所以需要放到缓存中的数据应该是.
guava-cache.rar
04-05
Guava CacheGoogle Guava库中的一个强大特性,它提供了高效的本地缓存解决方案。在许多应用程序中,我们经常需要缓存数据以减少不必要的数据库查询或远程服务调用,提高系统性能。尽管分布式缓存如Redis在高并发和...
JVM级别的本地缓存框架Guava Cache:探寻实现细节与核心机制
z1ztai的博客
03-17 648
Guava Cache中的expire与fefresh两种机制,给人的另一个困惑点在于:两者都是被动触发的数据加载逻辑,不管是expire还是refresh,只要超过指定的时间间隔,其实都是依旧存在与内存中,等有新的请求查询的时候,都会执行自动的最新数据加载操作。expire存在的意义更多的是一种数据生命周期终结的意味,超过了expire有效期的数据,虽然依旧会存在于内存中,但是在一些触发了cleanUp操作的情况下,是会被释放掉以减少内存占用的。这种情况,便该refreshAfterWrite登场了。
谷歌开源缓存框架Guava Cache
qq_36978700的博客
11-15 756
添加依赖 <!--guava依赖包--> <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>19.0</version> </dependency> 封装api import com.google.common.cache.Cache; import com
Guava Cache
王小禾
11-24 162
参考: Google Guava之–cache 1. 说明 关于Google Guava的介绍,参考其他文章。在此,仅做最实用的方法。 package cache; import com.google.common.cache.Cache; import com.google.common.cache.CacheBuilder; import java.util.concurrent....
google Guava Cache使用
AntKengElephant的博客
12-05 299
原文链接: https://blog.csdn.net/zhangjikuan/article/details/76408456 前言 项目中需要按照时间维度定期清理map中的数据,清理数据时还需要有个回调能够做点其他事情,此场景使用Guava Cache非常合适,因此对Guava Cache做个总结。在多线程高并发场景中往往是离不开cache的,需要根据不同的应用场景来需要选择不同的cache,比如分布式缓存如Redis、memcached,还有本地(进程内)缓存如ehcacheGuavaCach
guava_使用Google Guava Cache进行本地缓存
cunfeng7797的博客
12-19 232
guava 很多时候,我们将不得不从数据库或另一个Web服务获取数据或从文件系统加载数据。 在涉及网络呼叫的情况下,将存在固有的网络延迟,网络带宽限制。 解决此问题的方法之一是在应用程序本地拥有一个缓存。 如果您的应用程序跨越多个节点,则高速缓存将在每个节点本地,从而导致固有的数据不一致。 可以权衡此数据不一致以提高吞吐量和降低延迟。 但是有时候,如果数据不一致会产生重大影响,那么可以减少缓存...
Google Guava学习之Cache
梦想氧吧
12-10 218
sdf
本地缓存-google guava
pengsaiwei的专栏
09-24 154
http://ifeve.com/google-guava-cachesexplained/ public class FileTypeService { private final String CORE_FILE_TYPE = "core_file_type"; @Autowired private CreditAdapter creditAdapter; /** * @desc 本地配置缓存 * @author zoufan
谷歌Guava Cache的使用
guangyingposuo的博客
06-30 329
最近在项目中看到同事使用了Guava Cache;对这个不是特别了解,记录学习。 1、依赖 <!-- https://mvnrepository.com/artifact/com.google.guava/guava --> <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version&
JVM内存管理与JAVA缓存应用解析
"这篇文章主要探讨了JVM内存分配管理和JAVA缓存的相关知识,包括JVM内存的各个区域、缓存的应用以及内存管理的一些关键点。" 在JAVA编程中,JVMJava虚拟机)内存管理至关重要,它直接影响到程序的性能和稳定性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值