前言
在现代的软件开发中,安全性和用户体验是至关重要的方面。特别是在身份验证和授权方面,保护用户账户免受恶意访问是至关重要的。一种常见的安全措施是通过限制登录失败的尝试次数来防止暴力破解攻击。这意味着如果用户连续多次输入错误的凭据,系统将暂时禁止其登录,以防止进一步的尝试。
在本博客中,我们将探讨如何利用Redis来实现这样的安全措施。具体来说,我们将学习如何在用户连续多次登录失败后,暂时将其账户锁定一段时间(例如一分钟),以确保系统的安全性和用户体验。通过结合Spring Boot的便利性和Redis的高效性,我们能够轻松实现这一功能,提高系统的安全性,同时确保用户友好的体验。让我们深入探讨这个案例,并了解如何在Spring Boot应用中实现这一重要功能。
一、为何选择Redis作为账户锁定的存储解决方案?
在实现登录失败次数过多时的账户锁定功能时,选择适当的数据存储解决方案至关重要。Redis作为一个高性能的内存数据库,提供了一系列特性,使其成为这一场景的理想选择。
-
快速的读写操作:Redis以内存为基础,能够快速执行读写操作,特别适用于需要频繁更新的计数场景。这意味着我们能够迅速地记录用户的登录失败次数,并实时更新账户的锁定状态。
-
原子性操作: Redis支持原子性操作,能够确保在多线程或多进程环境下,对数据的读写操作是线程安全的。这对于确保登录失败次数的准确性和账户锁定的可靠性至关重要。
-
过期时间设置: Redis允许我们为存储的数据设置过期时间,这非常有利于实现一定时间内的账户锁定。例如,我们可以设置一个一分钟的过期时间,让用户在一定时间后自动解锁。
-
灵活的数据结构: Redis支持多种数据结构,包括字符串、哈希、列表等,这使得我们能够更灵活地存储和管理与账户锁定相关的信息,而不仅仅局限于简单的计数。
-
持久性选项: 虽然Redis以内存为主,但它也支持持久性选项,可以将数据持久化到磁盘,以防止数据丢失。这对于一些安全敏感的场景是一个备用的选项。
总的来说,Redis的快速性能、原子性操作、过期时间设置和灵活的数据结构使其成为实现登录失败次数过多时的账户锁定功能的优秀选择。在结合Spring Boot的便捷性和Redis的高效性时,我们能够轻松而可靠地增加系统的安全性
二、代码案例讲解
1.引入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.mysql</groupId>
<artifactId>mysql-connector-j</artifactId>
<version>8.0.31</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.3</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.24</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
<version>2.5.9</version>
</dependency>
2.配置文件
# 数据库驱动:
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
# 数据库连接地址
spring.datasource.url=jdbc:mysql://localhost:3306/数据库?serverTimezone=UTC
# 数据库用户名&密码:
spring.datasource.username=用户名
spring.datasource.password=密码
spring.main.allow-circular-references=true
# redis地址
spring.redis.host=localhost
spring.redis.port=6379
3.示例代码
实体类代码:
@TableName(value ="phone")
@AllArgsConstructor
@NoArgsConstructor
@Data
public class Phone implements Serializable {
/**
*
*/
@TableId(type = IdType.AUTO)
private Integer id;
/**
*
*/
private String number;
/**
*
*/
private String password;
controller层代码:
// 记录登录失败次数 登录失败次数大于5次 限制登录一分钟
@RequestMapping("relogin")
public String relogin(String number,String password) {
String key = "login:";
String loginkey="fail"+number;
LambdaQueryWrapper<Phone> queryWrapper = new LambdaQueryWrapper<>();
queryWrapper.eq(Phone::getNumber,number);
queryWrapper.eq(Phone::getPassword,password);
Phone phones = phoneService.getOne(queryWrapper);
if (phones!=null){
redisTemplate.delete(key);
redisTemplate.delete(loginkey);
return "登陆成功";
}
redisTemplate.opsForValue().increment(key);
redisTemplate.expire(key,1,TimeUnit.MINUTES);
redisTemplate.opsForValue().set(loginkey, String.valueOf(System.currentTimeMillis()),1,TimeUnit.MINUTES);
String loginNumStr = redisTemplate.opsForValue().get(key);
Integer loginNum = (loginNumStr != null) ? Integer.parseInt(loginNumStr) : 0;
if (loginNum != null && loginNum >= 5) {
long localtime = System.currentTimeMillis();
long failtime = Long.parseLong(redisTemplate.opsForValue().get(loginkey));
long time = localtime - failtime;
if(time<60000){
return "您的登录失败次数已经至少5次,请一分钟后重试";
}
}
return "登陆失败";
}
下面我来逐步解释代码的功能和逻辑:
-
首先,方法的签名是 relogin(String number, String password),表明它接收一个手机号码和密码作为输入参数。
-
在方法内部,首先定义了两个字符串变量:key 和 loginkey。key 的值是 “login:”,loginkey 的值是 “fail” 加上用户提供的手机号码。
-
使用 Lambda 表达式创建了一个查询条件 LambdaQueryWrapper queryWrapper,用于查询数据库中是否存在指定手机号码和密码的用户记录。
-
执行查询操作 phoneService.getOne(queryWrapper),将结果存储在 phones 变量中。
-
如果查询结果不为 null(即找到了匹配的用户记录),则执行以下操作:
- 删除 Redis 中存储的与登录相关的键值对,包括 key 和 loginkey。
- 返回字符串 “登陆成功”。
- 如果查询结果为 null(未找到匹配的用户记录),则执行以下操作:
- 使用 Redis 记录登录失败次数。通过递增 key 对应的值,记录当前登录失败的次数并且设置过期时间为一分钟。
- 使用 Redis 存储登录失败的时间戳,以便后续检查登录失败次数是否达到上限。
- 通过获取 key 对应的值,检查当前登录失败的次数。如果登录失败次数达到或超过 5 次,进入以下判断:
- 获取当前时间和最近一次登录失败的时间之间的时间差 time。
- 如果时间差小于 60000 毫秒(即一分钟),则返回提示信息:“您的登录失败次数已经超过5次,请一分钟后重试”。
- 如果以上条件都不满足,则返回 “登陆失败”。
总结
在本博客中,我们已经探讨如何利用Redis来实现锁定账户的安全措施,以及通过SpringBoot整合Redis实现了这一功能。具体的高级用法还需小伙伴们去深入研究。
最后,感谢您的阅读!