前言
本次要实现的需求是,用户登录错误,输入密码错误N次后,实现用户锁定,让用户等待一段时间后重新登录,目的是为了防止黑客暴力破解用户密码 。下面上代码教程,觉得不错的客官请点赞评论支持一下,让鄙人有继续创作的动力!
教程
1.原理
功能实现的原理,是记录用户连续输入密码错误的次数,达到某个错误次数以后,比如说是5次以后,就锁定用户,暂时不让用户登录。等锁定时限以后,用户又有5次重新输入密码的机会。代码实现原理是将用户名和输入错误的密码错误的次数记录到reids里,当用户登录成功后,清除该用户的登录错误的次数,重新计算。
2.代码教程
1.代码实现的核心类
import org.springblade.core.redis.cache.RedisUtil;
import org.springblade.core.tool.utils.SpringUtil;
import java.util.Set;
import java.util.concurrent.atomic.AtomicInteger;
import java.util.stream.Collectors;
/**
* 重试限制缓存
*
* @author tarzan
* @version 1.0
* @company 北斗天地股份有限公司
* @copyright (c) 2022 BEIDOU TIANDI CO.,LTD.All rights reserved.
* @date 2022年12月01日 17:13:14
* @since JDK1.8
*/
public class RetryLimitCache {
private static final RedisUtil REDIS_UTIL;
private static final String PASSWORD_RETRY_CACHE="password_retry_cache:";
static {
REDIS_UTIL = SpringUtil.getBean(RedisUtil.class);
}
/**
* 是否超过限制
*/
public static boolean isOverLimit(String username, Integer limit) {
//设置次数
AtomicInteger retryCount = RetryLimitCache.get(username);
if (retryCount == null) {
retryCount = new AtomicInteger(0);
}
if (retryCount.incrementAndGet() > limit) {
//重试次数如果大于限制次数,就锁定
return true;
}
//并将其保存到缓存中(有效时长30分)
RetryLimitCache.put(username, retryCount, 1800L);
return false;
}
/**
* 登录成功时,清除
*/
public static void remove(String userName) {
REDIS_UTIL.del(PASSWORD_RETRY_CACHE+userName);
}
/**
* 密码重置多用户时,清除
*/
public static void remove(Set<String> userNames) {
if(userNames!=null&&userNames.size()>0){
Set<String> keys=userNames.stream().map(userName->PASSWORD_RETRY_CACHE+userName).collect(Collectors.toSet());
REDIS_UTIL.del(keys);
}
}
private static void put(String userName, AtomicInteger retryNum, Long expire) {
REDIS_UTIL.setEx(PASSWORD_RETRY_CACHE+userName, retryNum,expire);
}
private static AtomicInteger get(String userName) {
return REDIS_UTIL.get(PASSWORD_RETRY_CACHE+userName);
}
}2.登录接口处理类
@ApiLog("用户验证")
@PostMapping("/getToken")
@ApiOperation(value = "获取认证令牌", notes = "账号:account,密码:password")
public Kv token(@ApiParam(value = "账号", required = true) @RequestParam(required = false) String username,
@ApiParam(value = "密码", required = true) @RequestParam(required = false) String password, HttpServletRequest request) {
String grantType = WebUtil.getRequest().getParameter("grant_type");
return grant(username,password,grantType,request);
}
private Kv grant(String username,String password,String grantType,HttpServletRequest request){
//固定租户id
String tenantId = "000000";
Kv authInfo = Kv.create();
//重连次数锁定
if (RetryLimitCache.isOverLimit(username, 5)) {
return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "密码输错次数达到上限,请30分钟后重试");
}
String refreshToken = WebUtil.getRequest().getParameter("refresh_token");
String userType = Func.toStr(WebUtil.getRequest().getHeader(TokenUtil.USER_TYPE_HEADER_KEY), TokenUtil.DEFAULT_USER_TYPE);
TokenParameter tokenParameter = new TokenParameter();
tokenParameter.getArgs().set("tenantId", tenantId).set("username", username).set("password", password).set("grantType", grantType).set("refreshToken", refreshToken).set("userType", userType);
ITokenGranter granter = TokenGranterBuilder.getGranter(grantType);
UserInfo userInfo;
try {
userInfo = granter.grant(tokenParameter);
}catch (CaptchaException e){
return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "验证码不正确");
}
if (userInfo == null || userInfo.getUser() == null) {
return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "用户名或密码不正确");
}
if (Func.isEmpty(userInfo.getRoles())) {
return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "未获得用户的角色信息");
}
//用户存入session,CAD异常时候,监听删除用户对于实体的锁定
Long userId = userInfo.getUser().getId();
request.getSession().setAttribute("userId", userId);
RetryLimitCache.remove(username);
return TokenUtil.createAuthInfo(userInfo);
}达到错误次数后抛出提示,登录成功后清除缓存。
补充说明,如果后端登录接口有验证校验的话,判断程序要写在,登录错误次数校验前面,以免把验证码输入错误的次数也统计上!!!
以上就是所有代码。
3.图片示意
相关知识
Redis(Remote Dictionary Server)是一种开源的内存数据结构存储系统,通常被用作数据库、缓存和消息中间件。下面将详细解释Redis的特点和用法。
特点:
- 内存存储:Redis将数据存储在内存中,以实现高性能和低延迟的读写操作。
- 数据结构多样性:Redis支持多种数据结构,包括字符串、哈希、列表、集合、有序集合等。每种数据结构都有对应的命令和操作,可以灵活地处理不同类型的数据。
- 持久化:Redis支持数据的持久化,可以将数据保存到硬盘中,以便在重启后恢复数据。
- 高可用性:Redis提供了主从复制、哨兵和集群等机制,以确保数据的高可用性和容错性。
- 发布/订阅功能:Redis支持发布/订阅模式,可以实现消息发布和订阅,并支持按照频道进行消息传递。
- 事务支持:Redis支持事务操作,通过MULTI、EXEC、WATCH和DISCARD等命令实现原子性和一致性。
- 脚本扩展:Redis支持使用Lua脚本来执行复杂的操作,并且可以将脚本缓存到服务器端以提高执行效率。
用法:
- 安装和配置:首先,需要从Redis官方网站下载适合操作系统的安装包,并按照指示进行安装。随后,通过配置文件进行基本设置,如监听地址、端口号、密码等。
- 连接和操作:使用Redis客户端工具(如redis-cli)或编程语言的Redis驱动程序,连接到Redis服务器,并执行各种操作,如数据插入、查询、更新和删除等。可以使用对应的命令和数据结构来处理不同类型的数据。
- 配置持久化:根据需要,可以设置Redis的持久化方式。Redis提供了两种持久化方式:RDB(默认方式)和AOF。RDB通过定期快照将数据库状态保存到磁盘,而AOF则记录每个写操作,以便在重启后重放操作日志。
- 高可用性和扩展:通过配置主从复制、哨兵和集群等机制,可以实现Redis的高可用性和横向扩展。主从复制复制数据到多个从节点,哨兵用于监控节点状态并进行故障转移,集群将数据分片到多个节点上实现水平扩展。
- 其他功能:Redis还提供了许多其他功能,如发布/订阅模式、事务、Lua脚本执行、管道操作等,可以根据实际需求进行使用。
应用场景:
- 缓存:Redis的高性能和低延迟使其成为理想的缓存解决方案,可以将常用数据存储在内存中,加快访问速度。
- 会话存储:通过将会话数据存储在Redis中,实现可扩展、高性能的会话管理。
- 排行榜和计数器:利用Redis的有序集合结构,可以轻松实现排行榜和计数器功能。
- 消息队列:Redis的发布/订阅模式和列表结构可用于实现简单的消息队列系统。
- 实时数据分析:通过数据类型和命令的灵活组合,可以在Redis中进行实时数据分析和聚合操作。
总结:
Redis是一种功能强大且广泛使用的开源内存数据结构存储系统,它具有高性能、多样的数据结构、持久化和高可用性等特点。通过了解Redis的特点和用法,可以更好地应用和管理Redis数据库。希望以上内容对您有所帮助,如有任何疑问,请随时提问。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
