在上一次寫的文章中，為大家說(shuō)到了如何動(dòng)態(tài)的從數(shù)據(jù)庫(kù)加載用戶、角色、權(quán)限信息，從而實(shí)現(xiàn)登錄驗(yàn)證及授權(quán)。在實(shí)際的開(kāi)發(fā)過(guò)程中，我們通常會(huì)有這樣的一個(gè)需求：當(dāng)用戶多次登錄失敗的時(shí)候，我們應(yīng)該將賬戶鎖定，等待一定的時(shí)間之后才能再次進(jìn)行登錄操作。

一、基礎(chǔ)知識(shí)回顧

要實(shí)現(xiàn)多次登錄失敗賬戶鎖定的功能，我們需要先回顧一下基礎(chǔ)知識(shí)：

• Spring Security 不需要我們自己實(shí)現(xiàn)登錄驗(yàn)證邏輯，而是將用戶、角色、權(quán)限信息以實(shí)現(xiàn)UserDetails和UserDetailsService接口的方式告知Spring Security。具體的登錄驗(yàn)證邏輯Spring Security 會(huì)幫助我們實(shí)現(xiàn)。
• UserDetails接口中有一個(gè)方法叫做isAccountNonLocked()用于判斷賬號(hào)是否被鎖定，也就是說(shuō)我們應(yīng)該通過(guò)該方法對(duì)應(yīng)的set方法setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。
• 那么應(yīng)該在哪里判斷賬號(hào)登錄失敗的次數(shù)并執(zhí)行鎖定機(jī)制呢？當(dāng)然是我們之前文章給大家介紹的《自定義登錄成功及失敗結(jié)果處理》的AuthenticationFailureHandler。

建議您先閱讀本文，如果您對(duì)本文的實(shí)現(xiàn)過(guò)程感到迷惑，建議您再翻看本號(hào)之前的相關(guān)內(nèi)容。

二、實(shí)現(xiàn)多次登錄失敗鎖定的原理

一般來(lái)說(shuō)實(shí)現(xiàn)這個(gè)需求，我們需要針對(duì)每一個(gè)用戶記錄登錄失敗的次數(shù)nLock和鎖定賬戶的到期時(shí)間releaseTime。具體你是把這2個(gè)信息存儲(chǔ)在mysql、還是文件中、還是redis中等等，完全取決于你對(duì)你所處的應(yīng)用架構(gòu)適用性的判斷。具體的實(shí)現(xiàn)邏輯無(wú)非就是：

• 登陸失敗之后，從存儲(chǔ)中將nLock取出來(lái)加1。
• 如果nLock大于登陸失敗閾值(比如3次)，則將nLock=0，然后設(shè)置releaseTime為當(dāng)前時(shí)間加上鎖定周期。通過(guò)setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。
• 如果nLock小于等于1，則將nLock再次存起來(lái)。
• 在一個(gè)合適的時(shí)機(jī)，將鎖定狀態(tài)重置為setAccountNonLocked(true)。

這是一種非常典型的實(shí)現(xiàn)方式，筆者向大家介紹一款非常有用的開(kāi)源軟件叫做：ratelimitj。這個(gè)軟件的功能主要是為API訪問(wèn)進(jìn)行限流，也就是說(shuō)可以通過(guò)制定規(guī)則限制API接口的訪問(wèn)頻率。那恰好登錄驗(yàn)證接口也是API的一種啊，我們正好也需要限制它在一定的時(shí)間內(nèi)的訪問(wèn)次數(shù)。

三、具體實(shí)現(xiàn)

首先需要將ratelimitj通過(guò)maven坐標(biāo)引入到我們的應(yīng)用里面來(lái)。我們使用的是內(nèi)存存儲(chǔ)的版本，還有redis存儲(chǔ)的版本，大家可以根據(jù)自己的應(yīng)用情況選用。

 <dependency>
  <groupId>es.moki.ratelimitj</groupId>
  <artifactId>ratelimitj-inmemory</artifactId>
  <version>0.4.1</version>
 </dependency>

之后通過(guò)繼承SimpleUrlAuthenticationFailureHandler ，實(shí)現(xiàn)onAuthenticationFailure方法。該實(shí)現(xiàn)是針對(duì)登錄失敗的結(jié)果的處理，在我們之前的文章中已經(jīng)講過(guò)。

@Component
public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
 @Autowired
 UserDetailsManager userDetailsManager;
 //規(guī)則定義：1小時(shí)之內(nèi)5次機(jī)會(huì)，就觸發(fā)限流行為
 Set<RequestLimitRule> rules = 
  Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5)); 
 RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules);
 @Override
 public void onAuthenticationFailure(HttpServletRequest request,
     HttpServletResponse response, 
     AuthenticationException exception) 
     throws IOException, ServletException {
  String userId = //從request或request.getSession中獲取登錄用戶名
  //計(jì)數(shù)器加1，并判斷該用戶是否已經(jīng)到了觸發(fā)了鎖定規(guī)則
  boolean reachLimit = limiter.overLimitWhenIncremented(userId);
 if(reachLimit){ //如果觸發(fā)了鎖定規(guī)則，通過(guò)UserDetails告知Spring Security鎖定賬戶
  user.setAccountNonLocked(false);
  userDetailsManager.updateUser(user);
  SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId);
 }
 //此處省略通過(guò)response做json或html響應(yīng)
 }
}

核心實(shí)現(xiàn)注意看代碼中的注釋

代碼中的SysUser為UserDetails的實(shí)現(xiàn)類，如果不知道如何實(shí)現(xiàn)請(qǐng)參考本號(hào)之前的文章

userDetailsManager被用于管理UserDetails信息，通過(guò)改變UserDetails改變Spring Security驗(yàn)證行為。

四、重置鎖定狀態(tài)的時(shí)機(jī)

user.setAccountNonLocked(true);

重置鎖定狀態(tài)很簡(jiǎn)單，就是上面的代碼。但是更重要的是如何選擇重置鎖定狀態(tài)的時(shí)機(jī)。筆者能想到幾種方案如下

• 下一次登陸的時(shí)候，自定義過(guò)濾器，加在Spring Boot過(guò)濾器鏈最前端做鎖定狀態(tài)重置的判斷。
• 當(dāng)?shù)卿涃~戶被鎖定之后，之后用戶的每一次登錄都會(huì)拋出LockedException。我們完全可以通過(guò)Spring Boot的全局異常捕獲機(jī)制，在其中捕獲LockedException，并做鎖定狀態(tài)的判斷及重置行為。
• 寫一個(gè)Spring 的定時(shí)器輪詢，當(dāng)然這是最差的方案。

總結(jié)

以上所述是小編給大家介紹的Spring Security實(shí)現(xiàn)多次登錄失敗后賬戶鎖定功能，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！
如果你覺(jué)得本文對(duì)你有幫助，歡迎轉(zhuǎn)載，煩請(qǐng)注明出處，謝謝！

最新評(píng)論