Spring Security實(shí)現(xiàn)多次登錄失敗后賬戶鎖定功能
在上一次寫的文章中,為大家說到了如何動(dòng)態(tài)的從數(shù)據(jù)庫(kù)加載用戶、角色、權(quán)限信息,從而實(shí)現(xiàn)登錄驗(yàn)證及授權(quán)。在實(shí)際的開發(fā)過程中,我們通常會(huì)有這樣的一個(gè)需求:當(dāng)用戶多次登錄失敗的時(shí)候,我們應(yīng)該將賬戶鎖定,等待一定的時(shí)間之后才能再次進(jìn)行登錄操作。
一、基礎(chǔ)知識(shí)回顧
要實(shí)現(xiàn)多次登錄失敗賬戶鎖定的功能,我們需要先回顧一下基礎(chǔ)知識(shí):
- Spring Security 不需要我們自己實(shí)現(xiàn)登錄驗(yàn)證邏輯,而是將用戶、角色、權(quán)限信息以實(shí)現(xiàn)UserDetails和UserDetailsService接口的方式告知Spring Security。具體的登錄驗(yàn)證邏輯Spring Security 會(huì)幫助我們實(shí)現(xiàn)。
- UserDetails接口中有一個(gè)方法叫做isAccountNonLocked()用于判斷賬號(hào)是否被鎖定,也就是說我們應(yīng)該通過該方法對(duì)應(yīng)的set方法setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。
- 那么應(yīng)該在哪里判斷賬號(hào)登錄失敗的次數(shù)并執(zhí)行鎖定機(jī)制呢?當(dāng)然是我們之前文章給大家介紹的《自定義登錄成功及失敗結(jié)果處理》的AuthenticationFailureHandler。
建議您先閱讀本文,如果您對(duì)本文的實(shí)現(xiàn)過程感到迷惑,建議您再翻看本號(hào)之前的相關(guān)內(nèi)容。
二、實(shí)現(xiàn)多次登錄失敗鎖定的原理
一般來說實(shí)現(xiàn)這個(gè)需求,我們需要針對(duì)每一個(gè)用戶記錄登錄失敗的次數(shù)nLock和鎖定賬戶的到期時(shí)間releaseTime。具體你是把這2個(gè)信息存儲(chǔ)在mysql、還是文件中、還是redis中等等,完全取決于你對(duì)你所處的應(yīng)用架構(gòu)適用性的判斷。具體的實(shí)現(xiàn)邏輯無非就是:
- 登陸失敗之后,從存儲(chǔ)中將nLock取出來加1。
- 如果nLock大于登陸失敗閾值(比如3次),則將nLock=0,然后設(shè)置releaseTime為當(dāng)前時(shí)間加上鎖定周期。通過setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。
- 如果nLock小于等于1,則將nLock再次存起來。
- 在一個(gè)合適的時(shí)機(jī),將鎖定狀態(tài)重置為setAccountNonLocked(true)。
這是一種非常典型的實(shí)現(xiàn)方式,筆者向大家介紹一款非常有用的開源軟件叫做:ratelimitj。這個(gè)軟件的功能主要是為API訪問進(jìn)行限流,也就是說可以通過制定規(guī)則限制API接口的訪問頻率。那恰好登錄驗(yàn)證接口也是API的一種啊,我們正好也需要限制它在一定的時(shí)間內(nèi)的訪問次數(shù)。
三、具體實(shí)現(xiàn)
首先需要將ratelimitj通過maven坐標(biāo)引入到我們的應(yīng)用里面來。我們使用的是內(nèi)存存儲(chǔ)的版本,還有redis存儲(chǔ)的版本,大家可以根據(jù)自己的應(yīng)用情況選用。
<dependency> <groupId>es.moki.ratelimitj</groupId> <artifactId>ratelimitj-inmemory</artifactId> <version>0.4.1</version> </dependency>
之后通過繼承SimpleUrlAuthenticationFailureHandler ,實(shí)現(xiàn)onAuthenticationFailure方法。該實(shí)現(xiàn)是針對(duì)登錄失敗的結(jié)果的處理,在我們之前的文章中已經(jīng)講過。
@Component public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //規(guī)則定義:1小時(shí)之內(nèi)5次機(jī)會(huì),就觸發(fā)限流行為 Set<RequestLimitRule> rules = Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5)); RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { String userId = //從request或request.getSession中獲取登錄用戶名 //計(jì)數(shù)器加1,并判斷該用戶是否已經(jīng)到了觸發(fā)了鎖定規(guī)則 boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果觸發(fā)了鎖定規(guī)則,通過UserDetails告知Spring Security鎖定賬戶 user.setAccountNonLocked(false); userDetailsManager.updateUser(user); SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此處省略通過response做json或html響應(yīng) } }
核心實(shí)現(xiàn)注意看代碼中的注釋
代碼中的SysUser為UserDetails的實(shí)現(xiàn)類,如果不知道如何實(shí)現(xiàn)請(qǐng)參考本號(hào)之前的文章
userDetailsManager被用于管理UserDetails信息,通過改變UserDetails改變Spring Security驗(yàn)證行為。
四、重置鎖定狀態(tài)的時(shí)機(jī)
user.setAccountNonLocked(true);
重置鎖定狀態(tài)很簡(jiǎn)單,就是上面的代碼。但是更重要的是如何選擇重置鎖定狀態(tài)的時(shí)機(jī)。筆者能想到幾種方案如下
- 下一次登陸的時(shí)候,自定義過濾器,加在Spring Boot過濾器鏈最前端做鎖定狀態(tài)重置的判斷。
- 當(dāng)?shù)卿涃~戶被鎖定之后,之后用戶的每一次登錄都會(huì)拋出LockedException。我們完全可以通過Spring Boot的全局異常捕獲機(jī)制,在其中捕獲LockedException,并做鎖定狀態(tài)的判斷及重置行為。
- 寫一個(gè)Spring 的定時(shí)器輪詢,當(dāng)然這是最差的方案。
總結(jié)
以上所述是小編給大家介紹的Spring Security實(shí)現(xiàn)多次登錄失敗后賬戶鎖定功能,希望對(duì)大家有所幫助,如果大家有任何疑問請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持!
如果你覺得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!
- SpringSecurity 默認(rèn)表單登錄頁(yè)展示流程源碼
- spring security實(shí)現(xiàn)下次自動(dòng)登錄功能過程解析
- Spring Security實(shí)現(xiàn)兩周內(nèi)自動(dòng)登錄"記住我"功能
- 詳解Spring Security的formLogin登錄認(rèn)證模式
- SpringSecurity動(dòng)態(tài)加載用戶角色權(quán)限實(shí)現(xiàn)登錄及鑒權(quán)功能
- 解析SpringSecurity自定義登錄驗(yàn)證成功與失敗的結(jié)果處理問題
- Spring security登錄過程邏輯詳解
相關(guān)文章
Java基礎(chǔ)知識(shí)之成員變量和局部變量淺顯易懂總結(jié)
從語(yǔ)法形式上,看成員變量是屬于類的,而局部變量是在方法中定義的變量或是方法的參數(shù);成員變量可以被public,private,static等修飾符所修飾,而局部變量不能被訪問控制修飾符及static所修飾2021-09-09使用Java通過OAuth協(xié)議驗(yàn)證發(fā)送微博的教程
這篇文章主要介紹了使用Java通過OAuth協(xié)議驗(yàn)證發(fā)送微博的教程,使用到了新浪微博為Java開放的API weibo4j,需要的朋友可以參考下2016-02-02ActiveMQ消息隊(duì)列技術(shù)融合Spring過程解析
這篇文章主要介紹了ActiveMQ消息隊(duì)列技術(shù)融合Spring過程解析,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下2019-11-11java 圖片驗(yàn)證碼的實(shí)現(xiàn)代碼
java 圖片驗(yàn)證碼的實(shí)現(xiàn)代碼,需要的朋友可以參考一下2013-05-05使用dubbo+zookeeper+spring boot構(gòu)建服務(wù)的方法詳解
這篇文章主要給大家介紹了關(guān)于如何使用dubbo+zookeeper+spring boot構(gòu)建服務(wù)的相關(guān)資料,文中通過示例代碼及圖片介紹的非常詳細(xì),需要的朋友可以參考借鑒,下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2018-05-05解決Spring Security的權(quán)限配置不生效問題
這篇文章主要介紹了解決Spring Security的權(quán)限配置不生效問題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2022-03-03Spring高級(jí)注解@PropertySource詳細(xì)解讀
這篇文章主要介紹了Spring高級(jí)注解@PropertySource詳細(xì)解讀,@PropertySource注解用于指定資源文件讀取的位置,它不僅能讀取properties文件,也能讀取xml文件,并且通過YAML解析器,配合自定義PropertySourceFactory實(shí)現(xiàn)解析yaml文件,需要的朋友可以參考下2023-11-11面試題:Java 實(shí)現(xiàn)查找旋轉(zhuǎn)數(shù)組的最小數(shù)字
這篇文章主要介紹了Java 實(shí)現(xiàn)查找旋轉(zhuǎn)數(shù)組的最小數(shù)字,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧2018-07-07