JAVA实现用户登录错误N次后,账户暂时锁定

Posted 洛阳泰山

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JAVA实现用户登录错误N次后,账户暂时锁定相关的知识,希望对你有一定的参考价值。

前言

   本次要实现的需求是,用户登录错误,输入密码错误N次后,实现用户锁定,让用户等待一段时间后重新登录,目的是为了防止黑客暴力破解用户密码 。下面上代码教程,觉得不错的客官请点赞评论支持一下,让鄙人有继续创作的动力!

教程

 1.原理

  功能实现的原理,是记录用户连续输入密码错误的次数,达到某个错误次数以后,比如说是5次以后,就锁定用户,暂时不让用户登录。等锁定时限以后,用户又有5次重新输入密码的机会。代码实现原理是将用户名和输入错误的密码错误的次数记录到reids里,当用户登录成功后,清除该用户的登录错误的次数,重新计算。

 2.代码教程

1.代码实现的核心类



import org.springblade.core.redis.cache.BladeRedis;
import org.springblade.core.tool.utils.SpringUtil;

import java.util.concurrent.atomic.AtomicInteger;

/**
 * 重试限制缓存
 *
 * @author tarzan
 * @since JDK1.8
 */
public class RetryLimitCache 

    private static final BladeRedis REDIS_UTIL;

    static 
        REDIS_UTIL = SpringUtil.getBean(BladeRedis.class);
    

    public static boolean isOverLimit(String username, Integer limit) 
        //设置次数
        AtomicInteger retryCount = RetryLimitCache.get(username);
        if (retryCount == null) 
            retryCount = new AtomicInteger(0);
        
        if (retryCount.incrementAndGet() > limit) 
            //重试次数如果大于限制次数,就锁定
            return true;
        
        //并将其保存到缓存中(有效时长30分)
        RetryLimitCache.put(username, retryCount, 1800L);
        return false;
    

    private static void put(String userName, AtomicInteger retryNum, Long expire) 
        REDIS_UTIL.hSet("password_retry_cache", userName, retryNum);
        REDIS_UTIL.expire("password_retry_cache", expire);
    

    private static AtomicInteger get(String userName) 
        return REDIS_UTIL.hGet("password_retry_cache", userName);
    

    public static void remove(String userName) 
        REDIS_UTIL.hDel("password_retry_cache", userName);
    


登录接口处理类


    @ApiLog("用户验证")
    @PostMapping("/getToken")
    @ApiOperation(value = "获取认证令牌", notes = "账号:account,密码:password")
    public Kv token(@ApiParam(value = "账号", required = true) @RequestParam(required = false) String username,
                    @ApiParam(value = "密码", required = true) @RequestParam(required = false) String password, HttpServletRequest request) 
        String grantType = WebUtil.getRequest().getParameter("grant_type");
        return grant(username,password,grantType,request);
    

    private Kv grant(String username,String password,String grantType,HttpServletRequest request)
        //固定租户id
        String tenantId = "000000";
        Kv authInfo = Kv.create();
        String refreshToken = WebUtil.getRequest().getParameter("refresh_token");
        String userType = Func.toStr(WebUtil.getRequest().getHeader(TokenUtil.USER_TYPE_HEADER_KEY), TokenUtil.DEFAULT_USER_TYPE);
        TokenParameter tokenParameter = new TokenParameter();
        tokenParameter.getArgs().set("tenantId", tenantId).set("username", username).set("password", password).set("grantType", grantType).set("refreshToken", refreshToken).set("userType", userType);
        ITokenGranter granter = TokenGranterBuilder.getGranter(grantType);
        UserInfo userInfo = granter.grant(tokenParameter);
        //重连次数锁定
        if (RetryLimitCache.isOverLimit(username, 5)) 
            return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "密码输错次数达到上限,请30分钟后重试");
        
        if (userInfo == null || userInfo.getUser() == null) 
            return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "用户名或密码不正确");
        

        if (Func.isEmpty(userInfo.getRoles())) 
            return authInfo.set("error_code", HttpServletResponse.SC_BAD_REQUEST).set("error_description", "未获得用户的角色信息");
        
        //用户存入session,CAD异常时候,监听删除用户对于实体的锁定
        Long userId = userInfo.getUser().getId();
        request.getSession().setAttribute("userId", userId);
        RetryLimitCache.remove(username);
        return TokenUtil.createAuthInfo(userInfo);
    

达到错误次数后抛出提示,登录成功后清除缓存。

以上就是所有代码。

以上是关于JAVA实现用户登录错误N次后,账户暂时锁定的主要内容,如果未能解决你的问题,请参考以下文章

实现用户登录并且输入错误三次后锁定该用户

python小程序—登录账户失败三次,账户自动锁定

登录程序

Centos7下用户登录失败N次后锁定用户禁止登陆的方法

Python实现简单的用户登录信息确认,密码输错3次后,用户被锁定

Centos7下用户登录失败N次后锁定用户禁止登陆的方法(转)