当登录尝试超过 3 次时，用户无法使用 Spring Security Rest API 登录？

Posted 2023-03-10

【中文标题】当登录尝试超过 3 次时，用户无法使用 Spring Security Rest API 登录？

【英文标题】：when login attempt is exceed more than 3 than user cant to login using spring security Rest API?

【发布时间】：2020-06-24 10:19:08

【问题描述】：

我在 java 中使用带有安全性的 spring boot。我有一个覆盖这个方法UserDetails lodUserByUsername(String email)。

我想当用户输入错误的电子邮件和密码时提供响应“无效的用户名和密码”

如果他们的电子邮件存在并且他们将输入错误的密码，那么该尝试的特定用户将增加一并存储到列尝试的数据库表中。

如果该用户的超出限制超过 3，我希望回复“您的用户名已被阻止”

如果该用户前两次或一次尝试输入错误密码，则增加唯一尝试并显示响应“您的尝试是”+MIN_ATTEMPTS。

如果用户输入了前两个或一个尝试输入错误的密码，那么在他们可以输入正确的用户名和密码之后，该特定用户的尝试设置为 0。

 private static final int MAX_ATTEMPTS = 3;
    int MIN_ATTEMPTS = 0;

 @SneakyThrows
    @Override
    public UserDetails loadUserByUsername(String email) 
        Members members = membersDao.findByEmail(email);
        Set<GrantedAuthority> authorities = new HashSet<>();
        if (members == null) 

            throw new Exception("Invalid username and password");
         else 
            MIN_ATTEMPTS = members.getAttempts();
            MIN_ATTEMPTS++;
            members.setAttempts(MIN_ATTEMPTS);
            membersDao.save(members);

        
        if (members.getAttempts() <= MAX_ATTEMPTS) 
            APIResponseBuilder.build(true   , commonMessages.loginSuccess);
            return new User(members.getEmail(), members.getPassword(), authorities);
         else 
            throw new Exception("You have exceed max +" + MAX_ATTEMPTS + "+limit of login");
        
    

【问题讨论】：

你能简单解释一下你的要求是什么吗？

问题陈述是什么？

我已经在上面解释了要求

用户名和密码输入错误，无法正常使用。但是当我输入正确的用户名和错误的密码时，我想在数据库中添加尝试，否则不会。如果用户名和密码正确，那么我不想将尝试更新到数据库中

【参考方案1】：

我已将上述代码添加到我的身份验证控制器中，问题已解决

1.控制器

private static final int MAX_ATTEMPTS = 3;

@PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody LoginMembers loginMembers) throws AuthenticationException, IOException, ServletException 
        Members members = membersDao.findByEmail(loginMembers.getEmail());
        PasswordEncoder passencoder = new BCryptPasswordEncoder();

        if (members == null) 
            //Create Error Message for User
            throw new RuntimeException("Invalid Username and Password");
        
        if (members.getAttempts() >= MAX_ATTEMPTS) 
            //Create Error Message for User
            throw new RuntimeException("Login Attempt exceeds "+MAX_ATTEMPTS);
        

        if (passencoder.matches(loginMembers.getPassword(), members.getPassword())) 
            final Authentication authentication = authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(
                            loginMembers.getEmail(),
                            loginMembers.getPassword()
                    )
            );

            SecurityContextHolder.getContext().setAuthentication(authentication);
            final String token = jwtTokenUtil.generateToken(authentication);
            logger.info("You are log in successfully with token");
            return ResponseEntity.ok(new AuthTokenRequest(token));
         else 
            int attempts = members.getAttempts();
            members.setAttempts(++attempts);
            membersDao.save(members);
            //Create Error Message for User
            throw new RuntimeException("Login attempts "+attempts);
        
    

方法

@Override
    public UserDetails loadUserByUsername(String email) 
        Members members = membersDao.findByEmail(email);
        Set<GrantedAuthority> authorities = new HashSet<>();
        try 
            Role role = members.getRoles();
            authorities.add(new SimpleGrantedAuthority(role.getRole()));
         catch (Exception e) 
            APIResponseBuilder.build(false, e.getMessage(), commonMessages.exception);
        
        return new User(members.getEmail(), members.getPassword(), authorities);