在上一次寫(xiě)的文章中,為大家說(shuō)到了如何動(dòng)態(tài)的從數(shù)據(jù)庫(kù)加載用戶、角色、權(quán)限信息,從而實(shí)現(xiàn)登錄驗(yàn)證及授權(quán)。在實(shí)際的開(kāi)發(fā)過(guò)程中,我們通常會(huì)有這樣的一個(gè)需求:當(dāng)用戶多次登錄失敗的時(shí)候,我們應(yīng)該將賬戶鎖定,等待一定的時(shí)間之后才能再次進(jìn)行登錄操作。
創(chuàng)新互聯(lián)建站專注于阿魯科爾沁企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè),商城網(wǎng)站建設(shè)。阿魯科爾沁網(wǎng)站建設(shè)公司,為阿魯科爾沁等地區(qū)提供建站服務(wù)。全流程按需制作網(wǎng)站,專業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,創(chuàng)新互聯(lián)建站專業(yè)和態(tài)度為您提供的服務(wù)
一、基礎(chǔ)知識(shí)回顧
要實(shí)現(xiàn)多次登錄失敗賬戶鎖定的功能,我們需要先回顧一下基礎(chǔ)知識(shí):
建議您先閱讀本文,如果您對(duì)本文的實(shí)現(xiàn)過(guò)程感到迷惑,建議您再翻看本號(hào)之前的相關(guān)內(nèi)容。
二、實(shí)現(xiàn)多次登錄失敗鎖定的原理
一般來(lái)說(shuō)實(shí)現(xiàn)這個(gè)需求,我們需要針對(duì)每一個(gè)用戶記錄登錄失敗的次數(shù)nLock和鎖定賬戶的到期時(shí)間releaseTime。具體你是把這2個(gè)信息存儲(chǔ)在MySQL、還是文件中、還是redis中等等,完全取決于你對(duì)你所處的應(yīng)用架構(gòu)適用性的判斷。具體的實(shí)現(xiàn)邏輯無(wú)非就是:
這是一種非常典型的實(shí)現(xiàn)方式,筆者向大家介紹一款非常有用的開(kāi)源軟件叫做:ratelimitj。這個(gè)軟件的功能主要是為API訪問(wèn)進(jìn)行限流,也就是說(shuō)可以通過(guò)制定規(guī)則限制API接口的訪問(wèn)頻率。那恰好登錄驗(yàn)證接口也是API的一種啊,我們正好也需要限制它在一定的時(shí)間內(nèi)的訪問(wèn)次數(shù)。
三、具體實(shí)現(xiàn)
首先需要將ratelimitj通過(guò)maven坐標(biāo)引入到我們的應(yīng)用里面來(lái)。我們使用的是內(nèi)存存儲(chǔ)的版本,還有redis存儲(chǔ)的版本,大家可以根據(jù)自己的應(yīng)用情況選用。
<dependency> <groupId>es.moki.ratelimitj</groupId> <artifactId>ratelimitj-inmemory</artifactId> <version>0.4.1</version> </dependency>
之后通過(guò)繼承SimpleUrlAuthenticationFailureHandler ,實(shí)現(xiàn)onAuthenticationFailure方法。該實(shí)現(xiàn)是針對(duì)登錄失敗的結(jié)果的處理,在我們之前的文章中已經(jīng)講過(guò)。
@Component public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //規(guī)則定義:1小時(shí)之內(nèi)5次機(jī)會(huì),就觸發(fā)限流行為 Set<RequestLimitRule> rules = Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5)); RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { String userId = //從request或request.getSession中獲取登錄用戶名 //計(jì)數(shù)器加1,并判斷該用戶是否已經(jīng)到了觸發(fā)了鎖定規(guī)則 boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果觸發(fā)了鎖定規(guī)則,通過(guò)UserDetails告知Spring Security鎖定賬戶 user.setAccountNonLocked(false); userDetailsManager.updateUser(user); SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此處省略通過(guò)response做json或html響應(yīng) } }
核心實(shí)現(xiàn)注意看代碼中的注釋
代碼中的SysUser為UserDetails的實(shí)現(xiàn)類,如果不知道如何實(shí)現(xiàn)請(qǐng)參考本號(hào)之前的文章
userDetailsManager被用于管理UserDetails信息,通過(guò)改變UserDetails改變Spring Security驗(yàn)證行為。
四、重置鎖定狀態(tài)的時(shí)機(jī)
user.setAccountNonLocked(true);
重置鎖定狀態(tài)很簡(jiǎn)單,就是上面的代碼。但是更重要的是如何選擇重置鎖定狀態(tài)的時(shí)機(jī)。筆者能想到幾種方案如下
總結(jié)
以上所述是小編給大家介紹的Spring Security實(shí)現(xiàn)多次登錄失敗后賬戶鎖定功能,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)創(chuàng)新互聯(lián)網(wǎng)站的支持!
如果你覺(jué)得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!
分享標(biāo)題:SpringSecurity實(shí)現(xiàn)多次登錄失敗后賬戶鎖定功能
標(biāo)題路徑:http://bm7419.com/article16/pphidg.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設(shè)計(jì)、移動(dòng)網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、網(wǎng)站排名、定制網(wǎng)站、用戶體驗(yàn)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)