Java redis 暴力破解漏洞 简单限制用户登录

最新推荐文章于 2023-11-07 17:34:31 发布
最新推荐文章于 2023-11-07 17:34:31 发布
阅读量310 收藏
点赞数
文章标签: java redis 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhongzih/article/details/130932111
版权

漏洞名称:暴力破解漏洞
处理方案 redis 设置对应的缓存有效期为60秒
然后每次登录的时候查询登录失败次数
超过5次不查询数据库,直接返回报错

@Configuration
@EnableCaching
public class RedisConfig implements Serializable {
 


    /**
     * 最新版,设置redis缓存过期时间
     */

    @Bean
    public RedisCacheManager cacheManager(RedisConnectionFactory redisConnectionFactory) {
        return new RedisCacheManager(
                RedisCacheWriter.nonLockingRedisCacheWriter(redisConnectionFactory),
                this.getRedisCacheConfigurationWithTtl( 60*60), // 默认策略,未配置的 key 会使用这个
                this.getRedisCacheConfigurationMap() // 指定 key 策略
        );
    }

    private Map<String, RedisCacheConfiguration> getRedisCacheConfigurationMap() {
        Map<String, RedisCacheConfiguration> redisCacheConfigurationMap = new HashMap<>();
 
        //自定义设置缓存时间
 
        redisCacheConfigurationMap.put("loginFailNum", this.getRedisCacheConfigurationWithTtl(60*1));
        return redisCacheConfigurationMap;
    }

    private RedisCacheConfiguration getRedisCacheConfigurationWithTtl(Integer seconds) {
        Jackson2JsonRedisSerializer<Object> jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer<>(Object.class);
        ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);
        RedisCacheConfiguration redisCacheConfiguration = RedisCacheConfiguration.defaultCacheConfig();
        redisCacheConfiguration = redisCacheConfiguration.serializeValuesWith(
                RedisSerializationContext
                        .SerializationPair
                        .fromSerializer(jackson2JsonRedisSerializer)
        ).entryTtl(Duration.ofSeconds(seconds));

        return redisCacheConfiguration;
    }
}


	//登录的时候查询登录失败次数
 	@Override
    @Cacheable(value = "loginFailNum",key = "'loginFail_' + #mobilePhone")
    public Integer getLoginFail(String  mobilePhone) {
        return 0;
    }
	// 失败次数加一
    @Override
    @CachePut(value = "loginFailNum",key = "'loginFail_' + #mobilePhone")
    public Integer setLoginFail(String  mobilePhone,Integer loginFailNum) {
        return loginFailNum + 1;
    }

@RequestMapping(value = "/login", method = RequestMethod.POST)
    @JSON(type = Admin.class)
    public AdminVo login(
            @RequestParam
            @NotBlank(message = "手机不能为空") String mobilePhone,
            @RequestParam
            @NotBlank(message = "密码不能为空") String password ) {
//        tokenService.deleteUser(mobilePhone);
        Integer value = tokenService.getLoginFail(mobilePhone);
        if (value == null || value >= 5) {
            throw new BusinessException(ResultCode.FAIL);
        }
        List<Admin> list= xxxDao.loginAdmin(mobilePhone, password);
        if (null == list|| list.isEmpty()) {
            tokenService.setLoginFail(mobilePhone,value);
            // 登录失败
        } else {
            // 登录成功
        }
    }
zhongzih
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java防止暴力破解用户名的5种常见方法
qq_42565292的博客
08-08 4416
系统的账号密码如果被破解了,对我们的整个系统都是巨大隐患。 通常情况下,我们会使用以下方法阻止黑客破解账号密码: 1、网站管理入口禁止使用弱口令帐号,建议使用复杂口令,比如:大小写字母与数字的组合,口令长度不小于8位等; 2、验证码在服务端校验; 3、建议采用防高频策略,针对同一IP短时间内的高频请求进行限时锁定; 4、第三方WEB防火墙来加固整个网站系统。 具体操作: 方案1 在前端或后台对密码进行校验 前端校验 java后台校验 方案2 从java后台做一个验证码给前端展示,在java后台进行校验验证码
Redis实现登录限制
qq_71695227的博客
05-10 453
Redis 登录 限制 3 次后 多少秒后才能登录
基于Redis实现限制登录功能
Hello World
07-25 1556
title具体代码实现 需求: 用户在2分钟内,仅允许输入错误密码5次。 如果超过次数,限制其登录1小时。(要求每登录失败时,都要给相应提式) 思路: **1、**判断当前登录的用户是否被限制登录     1.1如果没有被限制(执行登录功能) 2、 判断是否登录成功     2.1登录成功–>(清除输入密码错误次数信息)     2.2登录不成功    
基于SSRF+Redis的内网渗透
weixin_46686336的博客
11-07 632
基于SSRF+Redis的内网渗透
DS_Store文件泄漏总结
热门推荐
王嘟嘟的博客
04-08 1万+
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/88895109 0x01 基础 .DS_Store是Mac下Finder用来保存如何展示文件//文件夹的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 0x02 漏洞...
Redis实现登录验证,错误次数超过一定数后锁定账号
qq_37634156的博客
11-29 2028
仅贴出关键代码 Jedis jedis = new Jedis("192.168.1.105", 6379); @Override public Map loginByUserName(String userName, String password) { //根据用户名获取用户信息 List<Map> list = this.userMapper.selectByUserName( userName ); if (list.size() == 0) { .
SpringBoot+Redis如何实现用户输入错误密码后限制登录
最新发布
01-31
为了防止暴力破解和恶意攻击,我们需要在用户尝试登录失败一定次数后限制其登录。这不仅可以保护用户的账户安全,还可以减轻服务器的压力。在本文中,我们将使用Spring Boot和Redis来实现这个功能。 首先,我们需要...
使用redis管理用户登录会话的方法
09-09
使用Redis管理用户登录会话是一种高效且安全的策略,它能够减少服务器的内存负担,并提高系统的响应速度。Redis是一个内存数据库,特别适合处理快速读写操作,如存储和检索用户的登录信息。本文将深入探讨如何利用...
基于Redis实现每日登录失败次数限制
09-09
【基于Redis实现每日登录失败次数限制】的知识点详解 Redis是一种高效的内存数据结构存储系统,常用于缓存、消息队列、计数器等多种场景。在这个问题中,我们利用Redis来实现每日登录失败次数限制的功能,以防止...
java操作redis
12-25
5. **列表操作**:在Java中处理Redis的列表也很简单,例如,向列表添加元素: ```java jedis.lpush("myList", "item1", "item2"); ``` 6. **集合操作**:对于集合,可以使用`sadd`和`sget`等方法: ```java ...
使用 Redis 和 Lua 实现分布式锁
BXA
06-10 3848
分布式锁是一种用于多台服务器上处理同一资源的并发访问的锁机制。它用于协调分布式系统中的各个节点,确保它们的操作不会相互干扰。Redis (Remote Dictionary Server)是一种使用 C 语言编写的,开源的 in-memory 数据库系统,支持多种数据结构类型,如字符串、哈希表、列表、集合等。由于其可高效地存储键值对,并且具有多种灵活的使用方式,因此经常被用作缓存、会话存储和消息队列等场景。
Redis实现分布式读写锁(Java基于Lua实现)
grandachn的博客
04-04 6461
Redis实现分布式读写锁 前言 使用Jedis构建redis连接池,使用lua脚本命令保证redis的事务,以实现分布式的读写锁。项目中需要用到分布式的读写锁,开始使用Redisson的读写锁实现,压测的时候时不时会抛异常获取锁超时,初步判断是Redisson中redis连接池设置的太小。由于项目中还自己另外维护着一个redis的连接池JedisPool,故决定自己来实现分布式的可重入读写锁。 ...
Java 暴力破解zip压缩包密码
yymagicer的博客
05-08 7364
1、引用zip4j包 <dependency> <groupId>net.lingala.zip4j</groupId> <artifactId>zip4j</artifactId> <version>1.3.2</version> </dependency> 2、获取所有可能的密码集合 package com.yymagicer.util; import java.util.
Java配置15-redis未授权访问漏洞修复
JustDI0209的博客
01-17 990
目录 1.现状 2.方法 1)单节点redis配置 2)主从redis配置 3)哨兵配置 1.现状 近期公司检测安装的redis有未授权访问漏洞。 2.方法 1)单节点redis配置 修改redis的配置文件 redis.conf 在里面增加一行 requirepass changeme 然后重启redis,其他客户端再连接此redis时,就需要输入密码了。 2)主从redis配置 先在主节点的配置文件 redis.conf 在里面增加一行 requirepass chan
密码暴力破解
qq_45455136的博客
03-31 4255
密码暴力破解 什么是暴力破解 不安全的密码 密码猜解思路 Python暴力破解 BurpSuite暴力破解 DVWA的low等级暴力破解 DVWA的high等级暴力破解 其他暴力破解工具 wfuzz Hydra Medusa msfconsole 如何防御暴力破解 服务器防御
用户登陆 java后台处理(拦截器处理)
qq_25016071的博客
08-13 7864
用户登陆 java后台处理(拦截器处理) 上一篇用户登录java后台处理(AOP)文章,一开始的普通处理很麻烦,但是其本质也是通过请求得到的session来验证,拦截器处理也是在其本质上进行一系列的优化,也减少了不少了代码量。接下来我就介绍一下拦截器的实现原理,然后再附上我实现的拦截器。 SpringMVC 中的Interceptor 拦截器也是相当重要和相当有用的,它的主要作用是拦截
使用redis记录登录次数防止暴力破解
佳佳乐的博客
03-06 1971
//向redis里存入数据和设置缓存时间 stringRedisTemplate.opsForValue().set("baike", "100", 60 * 10, TimeUnit.SECONDS); //val做-1操作 stringRedisTemplate.boundValueOps("baike").increment(-1); //根据key获取缓存中的val stri...
用python 编写redis 暴力破解密码的程序
weixin_30642029的博客
09-29 2330
本文摘自http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/ import redisimport loggingLOGIN_TIMEOUT = 12class RedisAuth:  #初始化 def __init__(self, (host, port)): self.addr...
记一次Redis数据库漏洞被入侵现象
java、c++、机器学习方向King
03-21 6457
服务器状态:为了便于研发,把公司购买的云服务器上的一台内网服务器,主要目的是,把开放服务器上的Redis数据库服务,便于相关研发人员调用使用。出现的现象问题:CPU基本满负荷(估计是被当做肉鸡),出现SSH登录不上服务器的情况。挂了电话后我就登上了阿里云账号,看了一下自己Mem和CPU的使用状况,Mem倒没撒,CPU确实一直是一条直线,一直是百分之百。后来我就看了ps -aux看了进程cpu和内存...
laravel jwt redis token 限制一个用户登录
06-13
在 Laravel 中,使用 JWT 和 Redis 存储用户登录 token,可以很方便地实现限制一个用户登录。以下是实现步骤: 1. 安装 JWT 和 Redis 扩展。 2. 创建一个中间件,用于检查用户是否已经登录,如果已经登录,则禁止用户登录。可以使用如下代码: ```php namespace App\Http\Middleware; use Closure; use Illuminate\Auth\AuthenticationException; use Tymon\JWTAuth\Facades\JWTAuth; use Illuminate\Support\Facades\Redis; class EnsureSingleUserLogin { public function handle($request, Closure $next) { $user = JWTAuth::parseToken()->authenticate(); if ($user) { $key = "user:{$user->id}:token"; $token = Redis::get($key); if ($token !== $request->bearerToken()) { throw new AuthenticationException('已在其他设备登录'); } } return $next($request); } } ``` 3. 在路由中使用中间件来检查用户是否已经登录,如果已经登录,则禁止用户登录。可以使用如下代码: ```php Route::middleware(['jwt.auth', 'single.user.login'])->group(function () { // ... }); ``` 通过以上步骤,就可以使用 JWT 和 Redis 存储用户登录 token,以实现限制一个用户登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值