SpringBoot整合Redis实现登录失败锁定功能(实例详解)
更新时间:2024年02月26日 11:03:07 作者:啄sir.
本文我们已经探讨如何利用Redis来实现锁定账户的安全措施,以及通过SpringBoot整合Redis实现了这一功能,感兴趣的朋友跟随小编一起学习下吧
前言
在现代的软件开发中,安全性和用户体验是至关重要的方面。特别是在身份验证和授权方面,保护用户账户免受恶意访问是至关重要的。一种常见的安全措施是通过限制登录失败的尝试次数来防止暴力破解攻击。这意味着如果用户连续多次输入错误的凭据,系统将暂时禁止其登录,以防止进一步的尝试。
在本博客中,我们将探讨如何利用Redis来实现这样的安全措施。具体来说,我们将学习如何在用户连续多次登录失败后,暂时将其账户锁定一段时间(例如一分钟),以确保系统的安全性和用户体验。通过结合Spring Boot的便利性和Redis的高效性,我们能够轻松实现这一功能,提高系统的安全性,同时确保用户友好的体验。让我们深入探讨这个案例,并了解如何在Spring Boot应用中实现这一重要功能。
一、为何选择Redis作为账户锁定的存储解决方案?
在实现登录失败次数过多时的账户锁定功能时,选择适当的数据存储解决方案至关重要。Redis作为一个高性能的内存数据库,提供了一系列特性,使其成为这一场景的理想选择。
- 快速的读写操作:Redis以内存为基础,能够快速执行读写操作,特别适用于需要频繁更新的计数场景。这意味着我们能够迅速地记录用户的登录失败次数,并实时更新账户的锁定状态。
- 原子性操作: Redis支持原子性操作,能够确保在多线程或多进程环境下,对数据的读写操作是线程安全的。这对于确保登录失败次数的准确性和账户锁定的可靠性至关重要。
- 过期时间设置: Redis允许我们为存储的数据设置过期时间,这非常有利于实现一定时间内的账户锁定。例如,我们可以设置一个一分钟的过期时间,让用户在一定时间后自动解锁。
- 灵活的数据结构: Redis支持多种数据结构,包括字符串、哈希、列表等,这使得我们能够更灵活地存储和管理与账户锁定相关的信息,而不仅仅局限于简单的计数。
- 持久性选项: 虽然Redis以内存为主,但它也支持持久性选项,可以将数据持久化到磁盘,以防止数据丢失。这对于一些安全敏感的场景是一个备用的选项。
总的来说,Redis的快速性能、原子性操作、过期时间设置和灵活的数据结构使其成为实现登录失败次数过多时的账户锁定功能的优秀选择。在结合Spring Boot的便捷性和Redis的高效性时,我们能够轻松而可靠地增加系统的安全性
二、代码案例讲解
1.引入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.mysql</groupId>
<artifactId>mysql-connector-j</artifactId>
<version>8.0.31</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.3</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.24</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
<version>2.5.9</version>
</dependency>2.配置文件
# 数据库驱动: spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver # 数据库连接地址 spring.datasource.url=jdbc:mysql://localhost:3306/数据库?serverTimezone=UTC # 数据库用户名&密码: spring.datasource.username=用户名 spring.datasource.password=密码 spring.main.allow-circular-references=true # redis地址 spring.redis.host=localhost spring.redis.port=6379
3.示例代码
实体类代码:
@TableName(value ="phone")
@AllArgsConstructor
@NoArgsConstructor
@Data
public class Phone implements Serializable {
/**
*
*/
@TableId(type = IdType.AUTO)
private Integer id;
/**
*
*/
private String number;
/**
*
*/
private String password;controller层代码:
// 记录登录失败次数 登录失败次数大于5次 限制登录一分钟
@RequestMapping("relogin")
public String relogin(String number,String password) {
String key = "login:";
String loginkey="fail"+number;
LambdaQueryWrapper<Phone> queryWrapper = new LambdaQueryWrapper<>();
queryWrapper.eq(Phone::getNumber,number);
queryWrapper.eq(Phone::getPassword,password);
Phone phones = phoneService.getOne(queryWrapper);
if (phones!=null){
redisTemplate.delete(key);
redisTemplate.delete(loginkey);
return "登陆成功";
}
redisTemplate.opsForValue().increment(key);
redisTemplate.expire(key,1,TimeUnit.MINUTES);
redisTemplate.opsForValue().set(loginkey, String.valueOf(System.currentTimeMillis()),1,TimeUnit.MINUTES);
String loginNumStr = redisTemplate.opsForValue().get(key);
Integer loginNum = (loginNumStr != null) ? Integer.parseInt(loginNumStr) : 0;
if (loginNum != null && loginNum >= 5) {
long localtime = System.currentTimeMillis();
long failtime = Long.parseLong(redisTemplate.opsForValue().get(loginkey));
long time = localtime - failtime;
if(time<60000){
return "您的登录失败次数已经至少5次,请一分钟后重试";
}
}
return "登陆失败";
}下面我来逐步解释代码的功能和逻辑:
- 首先,方法的签名是 relogin(String number, String password),表明它接收一个手机号码和密码作为输入参数。
- 在方法内部,首先定义了两个字符串变量:key 和 loginkey。key 的值是 “login:”,loginkey 的值是 “fail” 加上用户提供的手机号码。
- 使用 Lambda 表达式创建了一个查询条件 LambdaQueryWrapper queryWrapper,用于查询数据库中是否存在指定手机号码和密码的用户记录。
- 执行查询操作 phoneService.getOne(queryWrapper),将结果存储在 phones 变量中。
- 如果查询结果不为 null(即找到了匹配的用户记录),则执行以下操作:
- 删除 Redis 中存储的与登录相关的键值对,包括 key 和 loginkey。
- 返回字符串 “登陆成功”。
- 如果查询结果为 null(未找到匹配的用户记录),则执行以下操作:
- 使用 Redis 记录登录失败次数。通过递增 key 对应的值,记录当前登录失败的次数并且设置过期时间为一分钟。
- 使用 Redis 存储登录失败的时间戳,以便后续检查登录失败次数是否达到上限。
- 通过获取 key 对应的值,检查当前登录失败的次数。如果登录失败次数达到或超过 5 次,进入以下判断:
- 获取当前时间和最近一次登录失败的时间之间的时间差 time。
- 如果时间差小于 60000 毫秒(即一分钟),则返回提示信息:“您的登录失败次数已经超过5次,请一分钟后重试”。
- 如果以上条件都不满足,则返回 “登陆失败”。
总结
在本博客中,我们已经探讨如何利用Redis来实现锁定账户的安全措施,以及通过SpringBoot整合Redis实现了这一功能。具体的高级用法还需小伙伴们去深入研究。
到此这篇关于SpringBoot整合Redis实现登录失败锁定功能的文章就介绍到这了,更多相关SpringBoot Redis登录失败锁定内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
AOP(面向方面)的思想,就是把项目共同的那部分功能分离开来,比如日志记录,避免在业务逻辑里面夹杂着跟业务逻辑无关的代码2013-09-09
本篇文章主要介绍了Spring Boot JDBC 连接数据库示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-02-02
SSH 包含3个组件,文中给大家详细提到。这篇文章主要介绍了SSH的三个组件ssh、sftp、scp ,需要的朋友可以参考下2018-10-10
下面围绕几个自己开发过程中常用的测试工具和手段,做简单的总结,不在于对比方式的好坏,存在即合理,在不同场景中对合理手段的选择,快速解决问题才是根本目的。2021-06-06
Spring实战之使用TransactionProxyFactoryBean实现声明式事务操作示例
这篇文章主要介绍了Spring实战之使用TransactionProxyFactoryBean实现声明式事务操作,结合实例形式分析了spring使用TransactionProxyFactoryBean实现声明式事务相关配置、接口设置与使用技巧,需要的朋友可以参考下2020-01-01
这篇文章主要介绍了Java泛型机制必要性及原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-05-05
最近将IDEA 升级到 IntelliJ IDEA 2021.3.2,在将maven项目导入IDEA后,maven build时报异常,这个问题是IntelliJ IDEA 2021.3.2 不兼容导致的,下面小编给大家带来了idea 与 maven 使用过程中遇到的问题及解决方案,感兴趣的朋友一起看看吧2022-05-05
详解如何让Spring MVC显示自定义的404 Not Found页面
这篇文章主要介绍了详解如何让Spring MVC显示自定义的404 Not Found页面,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-10-10
这篇文章主要介绍了jpa实现只查询指定的字段,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-12-12
这篇文章主要介绍了Java精度丢失的问题,帮助大家更好的理解和使用Java,感兴趣的朋友可以了解下,希望能够给你带来帮助2021-08-08
最新评论