时间:2021-05-20
在上一次写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。
一、基础知识回顾
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:
建议您先阅读本文,如果您对本文的实现过程感到迷惑,建议您再翻看本号之前的相关内容。
二、实现多次登录失败锁定的原理
一般来说实现这个需求,我们需要针对每一个用户记录登录失败的次数nLock和锁定账户的到期时间releaseTime。具体你是把这2个信息存储在mysql、还是文件中、还是redis中等等,完全取决于你对你所处的应用架构适用性的判断。具体的实现逻辑无非就是:
这是一种非常典型的实现方式,笔者向大家介绍一款非常有用的开源软件叫做:ratelimitj。这个软件的功能主要是为API访问进行限流,也就是说可以通过制定规则限制API接口的访问频率。那恰好登录验证接口也是API的一种啊,我们正好也需要限制它在一定的时间内的访问次数。
三、具体实现
首先需要将ratelimitj通过maven坐标引入到我们的应用里面来。我们使用的是内存存储的版本,还有redis存储的版本,大家可以根据自己的应用情况选用。
<dependency> <groupId>es.moki.ratelimitj</groupId> <artifactId>ratelimitj-inmemory</artifactId> <version>0.4.1</version> </dependency>之后通过继承SimpleUrlAuthenticationFailureHandler ,实现onAuthenticationFailure方法。该实现是针对登录失败的结果的处理,在我们之前的文章中已经讲过。
@Componentpublic class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //规则定义:1小时之内5次机会,就触发限流行为 Set<RequestLimitRule> rules = Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5)); RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { String userId = //从request或request.getSession中获取登录用户名 //计数器加1,并判断该用户是否已经到了触发了锁定规则 boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果触发了锁定规则,通过UserDetails告知Spring Security锁定账户 user.setAccountNonLocked(false); userDetailsManager.updateUser(user); SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此处省略通过response做json或html响应 }}核心实现注意看代码中的注释
代码中的SysUser为UserDetails的实现类,如果不知道如何实现请参考本号之前的文章
userDetailsManager被用于管理UserDetails信息,通过改变UserDetails改变Spring Security验证行为。
四、重置锁定状态的时机
user.setAccountNonLocked(true);
重置锁定状态很简单,就是上面的代码。但是更重要的是如何选择重置锁定状态的时机。笔者能想到几种方案如下
总结
以上所述是小编给大家介绍的Spring Security实现多次登录失败后账户锁定功能,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
spring-security里自带了oauth2,正好YIIU里也用到了spring-security做权限部分,那为何不直接集成上第三方登录呢?然后我开始了
这里使用的是spring-security和原生的jasigcas包来进行整合,为什么没有直接使用spring提供的spring-security-cas,后面
现在很多小伙伴在京东购物。大家登录账户时应该遇到过账户被锁定的情况。很多小伙伴自己的账户被锁定是无知的。京东账户被锁定是什么意思?tex、京东账户被锁定是什么意
在学习django的时候,想要实现登录失败后,进行用户锁定,切记录锁定时间,在网上找了很多资料,但是都感觉不是那么靠谱,于是乎,我开始了我的设计,其实我一开始想
现在手机基本上有记住账户和密码的功能,所以每次登录淘宝商业街都不需要多次输入账户和密码,所以很多人都容易忘记淘宝账户,怎样才能找回淘宝账户呢?一、手机、邮箱