0to1使用Redis实现“登录验证”次数限制

1 引言

系统为了避免密码遭到暴力破解,通常情况下需要在登录时,限制用户验证账号密码的次数,当达到一定的验证次数后,在一段时间内锁定该账号,不再验证。本章将用几行代码实现该功能,完整代码链接在文章最后。

2 原理介绍

可以看到在登录接口中,4行代码即可实现该功能,这里使用Redis可以很方便的记录"登录失败次数",以及设置其失效时间(即锁定时间),主要步骤是:

  1. 账号登录时,当前账号"登录失败次数"默认+1。
  2. 设置"登录失败次数"失效的时间(即锁定时间)。
  3. 当"登录失败次数"大于某个阈值时,就直接返回错误提示,不再走验证逻辑。
  4. 账号登录成功,清除"登录失败次数",重新计数。

注意:第2步和第3步,可以交换顺序。

第2步在前时,锁定中发起请求会导致重新计时。

第3步在前时,锁定中发起请求不会导致重新计时。

3 代码

isTrue是断言方法,不满足条件时,抛出异常,在全局异常处理中,统一返回错误提示。参见Spring全局异常处理HandlerExceptionResolver使用

复制代码
package com.zeroone.service.sys;

import com.zeroone.common.RedisKey;
import com.zeroone.entity.sys.User;
import com.zeroone.service.BaseService;
import com.zeroone.utils.Param;
import org.springframework.stereotype.Service;

import java.util.concurrent.TimeUnit;


@Service("UserService")
public class LoginServiceImpl extends BaseService implements LoginService {


    @Override
    public Object webLogin(Param info) {
        String account = info.getStringNotNull("account").trim();
        String password = info.getStringNotNull("password").trim();

        Long loginFailedCount = redisTemplate.opsForValue().increment(RedisKey.LOGIN_FAILED_COUNT + account, 1);//先将登录失败次数+1
        redisTemplate.expire(RedisKey.LOGIN_FAILED_COUNT + account, 10, TimeUnit.SECONDS);// 指定登录失败次数失效时间
        isTrue(loginFailedCount <= 5, "请10秒后重试!");//当登录失败次数大于阈值后,直接返回错误信息
        //TODO 模拟验证密码
        isTrue(password.equals("12345"), "账号或密码错误,还能重试" + (5 - loginFailedCount) + "次!");
        redisTemplate.delete(RedisKey.LOGIN_FAILED_COUNT + account);// 验证通过后,清除登录失败次数

        User user = new User();
        user.setId(1L);
        user.setName("张三");
        user.setAccount("12345678901@qq.com");
        user.setPhone("12345678901");
        String token = tokenService.createToken(user);
        return token;
    }

    @Override
    public void logout() {
        tokenService.deleteToken();
    }
}

    /**
     * true断言
     *
     * @param expression 参数
     * @param msg        描述
     */
    public void isTrue(boolean expression, String msg) {
        if (!expression) {
            throw new MyRuntimeException(HttpCode.BAD_REQUEST_CODE, msg);
        }
    }

4 测试

  1. 启动项目,请求:http://localhost:8080/web/login,输入错误的密码,提示"账号或密码错误,还能重试X次!"。
  1. 然后连续验证错误5次后,提示"请10秒后重试!",表示该账号被锁定,拒绝验证,且10秒内无法再次请求验证。

5 完整代码

Gitee代码链接

相关推荐
我命由我123452 小时前
Android Studio - Android Studio 自定义预览尺寸
android·java·ide·java-ee·android studio·android-studio·android runtime
咖啡八杯3 小时前
GoF设计模式——迭代器模式
java·后端·设计模式·迭代器模式
AIGS0013 小时前
企业AI落地的关键认知:向量空间JBoltAI的本体语义平台
java·人工智能·人工智能ai大模型应用
记忆停留w3 小时前
从单体到微服务:Redis 协同 MySQL、Milvus、MinIO 搭建企业级RAG/AI Agent脚手架架构
大数据·人工智能·redis·微服务·ai·架构·milvus
KaMeidebaby4 小时前
卡梅德生物技术快报|抗体亲和力成熟工业化调控新机制:差异性浆细胞增殖工艺优化思路
java·开发语言·人工智能·算法·机器学习·架构·spark
吴声子夜歌4 小时前
Redis 5.x——布隆过滤器
数据库·redis·缓存
醉城夜风~5 小时前
Java详解经典算法题:接雨水(三种实现方案+原理剖析)
java·开发语言·算法
数智化转型推荐官6 小时前
2026统一身份管理系统五大发展趋势解读
java·运维·微服务
看菜鸡互6 小时前
探索用 SlideML 让大模型生成 PPT 的实验方法
java·运维
程序员张38 小时前
SpringBoot集成BCrypt密码加密库
java·spring boot·后端