Spring Security实现多次登录失败后账户锁定功能

发布时间:2020-08-27 21:30:05 作者:字母哥博客
来源:脚本之家 阅读:680

在上一次写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。

一、基础知识回顾

要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:

建议您先阅读本文,如果您对本文的实现过程感到迷惑,建议您再翻看本号之前的相关内容。

二、实现多次登录失败锁定的原理

一般来说实现这个需求,我们需要针对每一个用户记录登录失败的次数nLock和锁定账户的到期时间releaseTime。具体你是把这2个信息存储在mysql、还是文件中、还是redis中等等,完全取决于你对你所处的应用架构适用性的判断。具体的实现逻辑无非就是:

这是一种非常典型的实现方式,笔者向大家介绍一款非常有用的开源软件叫做:ratelimitj。这个软件的功能主要是为API访问进行限流,也就是说可以通过制定规则限制API接口的访问频率。那恰好登录验证接口也是API的一种啊,我们正好也需要限制它在一定的时间内的访问次数。

三、具体实现

首先需要将ratelimitj通过maven坐标引入到我们的应用里面来。我们使用的是内存存储的版本,还有redis存储的版本,大家可以根据自己的应用情况选用。

 <dependency>
  <groupId>es.moki.ratelimitj</groupId>
  <artifactId>ratelimitj-inmemory</artifactId>
  <version>0.4.1</version>
 </dependency>

之后通过继承SimpleUrlAuthenticationFailureHandler ,实现onAuthenticationFailure方法。该实现是针对登录失败的结果的处理,在我们之前的文章中已经讲过。

@Component
public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
 @Autowired
 UserDetailsManager userDetailsManager;
 //规则定义:1小时之内5次机会,就触发限流行为
 Set<RequestLimitRule> rules = 
  Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5)); 
 RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules);
 @Override
 public void onAuthenticationFailure(HttpServletRequest request,
     HttpServletResponse response, 
     AuthenticationException exception) 
     throws IOException, ServletException {
  String userId = //从request或request.getSession中获取登录用户名
  //计数器加1,并判断该用户是否已经到了触发了锁定规则
  boolean reachLimit = limiter.overLimitWhenIncremented(userId);
 if(reachLimit){ //如果触发了锁定规则,通过UserDetails告知Spring Security锁定账户
  user.setAccountNonLocked(false);
  userDetailsManager.updateUser(user);
  SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId);
 }
 //此处省略通过response做json或html响应
 }
}

核心实现注意看代码中的注释

代码中的SysUser为UserDetails的实现类,如果不知道如何实现请参考本号之前的文章

userDetailsManager被用于管理UserDetails信息,通过改变UserDetails改变Spring Security验证行为。

四、重置锁定状态的时机

user.setAccountNonLocked(true);

重置锁定状态很简单,就是上面的代码。但是更重要的是如何选择重置锁定状态的时机。笔者能想到几种方案如下

总结

以上所述是小编给大家介绍的Spring Security实现多次登录失败后账户锁定功能,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对亿速云网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

推荐阅读:
  1. Spring Security 自定义登录认证(二)
  2. Spring Security原理是什么

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

spring security 账号

上一篇:浅谈pytorch池化maxpool2D注意事项

下一篇:python+opencv实现阈值分割

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》