中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SpringSecurity如何實現多次登錄失敗后賬戶鎖定功能

發布時間:2021-09-27 15:34:33 來源:億速云 閱讀:226 作者:小新 欄目:編程語言

這篇文章將為大家詳細講解有關SpringSecurity如何實現多次登錄失敗后賬戶鎖定功能,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

一、基礎知識回顧

要實現多次登錄失敗賬戶鎖定的功能,我們需要先回顧一下基礎知識:

Spring Security 不需要我們自己實現登錄驗證邏輯,而是將用戶、角色、權限信息以實現UserDetails和UserDetailsService接口的方式告知Spring Security。具體的登錄驗證邏輯Spring Security 會幫助我們實現。  UserDetails接口中有一個方法叫做isAccountNonLocked()用于判斷賬號是否被鎖定,也就是說我們應該通過該方法對應的set方法setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。  那么應該在哪里判斷賬號登錄失敗的次數并執行鎖定機制呢?當然是我們之前文章給大家介紹的《自定義登錄成功及失敗結果處理》的AuthenticationFailureHandler。

建議您先閱讀本文,如果您對本文的實現過程感到迷惑,建議您再翻看本號之前的相關內容。

二、實現多次登錄失敗鎖定的原理

一般來說實現這個需求,我們需要針對每一個用戶記錄登錄失敗的次數nLock和鎖定賬戶的到期時間releaseTime。具體你是把這2個信息存儲在mysql、還是文件中、還是redis中等等,完全取決于你對你所處的應用架構適用性的判斷。具體的實現邏輯無非就是:

登陸失敗之后,從存儲中將nLock取出來加1。  如果nLock大于登陸失敗閾值(比如3次),則將nLock=0,然后設置releaseTime為當前時間加上鎖定周期。通過setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。  如果nLock小于等于1,則將nLock再次存起來。  在一個合適的時機,將鎖定狀態重置為setAccountNonLocked(true)。

這是一種非常典型的實現方式,筆者向大家介紹一款非常有用的開源軟件叫做:ratelimitj。這個軟件的功能主要是為API訪問進行限流,也就是說可以通過制定規則限制API接口的訪問頻率。那恰好登錄驗證接口也是API的一種啊,我們正好也需要限制它在一定的時間內的訪問次數。

三、具體實現

首先需要將ratelimitj通過maven坐標引入到我們的應用里面來。我們使用的是內存存儲的版本,還有redis存儲的版本,大家可以根據自己的應用情況選用。

<dependency>  <groupId>es.moki.ratelimitj</groupId>  <artifactId>ratelimitj-inmemory</artifactId>  <version>0.4.1</version> </dependency>

之后通過繼承SimpleUrlAuthenticationFailureHandler ,實現onAuthenticationFailure方法。該實現是針對登錄失敗的結果的處理,在我們之前的文章中已經講過。

@Componentpublic class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //規則定義:1小時之內5次機會,就觸發限流行為 Set<RequestLimitRule> rules =   Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5));  RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request,     HttpServletResponse response,      AuthenticationException exception)      throws IOException, ServletException {  String userId = //從request或request.getSession中獲取登錄用戶名  //計數器加1,并判斷該用戶是否已經到了觸發了鎖定規則  boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果觸發了鎖定規則,通過UserDetails告知Spring Security鎖定賬戶  user.setAccountNonLocked(false);  userDetailsManager.updateUser(user);  SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此處省略通過response做json或html響應 }}

核心實現注意看代碼中的注釋

代碼中的SysUser為UserDetails的實現類,如果不知道如何實現請參考本號之前的文章

userDetailsManager被用于管理UserDetails信息,通過改變UserDetails改變Spring Security驗證行為。

四、重置鎖定狀態的時機

user.setAccountNonLocked(true);

重置鎖定狀態很簡單,就是上面的代碼。但是更重要的是如何選擇重置鎖定狀態的時機。筆者能想到幾種方案如下

下一次登陸的時候,自定義過濾器,加在Spring Boot過濾器鏈最前端做鎖定狀態重置的判斷。  當登錄賬戶被鎖定之后,之后用戶的每一次登錄都會拋出LockedException。我們完全可以通過Spring Boot的全局異常捕獲機制,在其中捕獲LockedException,并做鎖定狀態的判斷及重置行為。  寫一個Spring 的定時器輪詢,當然這是最差的方案。

關于“SpringSecurity如何實現多次登錄失敗后賬戶鎖定功能”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

凤城市| 兖州市| 雅安市| 郸城县| 鄢陵县| 汶上县| 司法| 府谷县| 定远县| SHOW| 乐昌市| 天镇县| 苍梧县| 江城| 镇远县| 大名县| 齐河县| 安多县| 鹿泉市| 吉林市| 利津县| 永康市| 金寨县| 玉环县| 饶河县| 抚宁县| 江城| 师宗县| 松滋市| 顺昌县| 福清市| 河西区| 天津市| 南溪县| 江都市| 双江| 河池市| 拜城县| 禹州市| 皮山县| 林州市|