0to1使用Redis实现“登录验证”次数限制

1 引言

系统为了避免密码遭到暴力破解,通常情况下需要在登录时,限制用户验证账号密码的次数,当达到一定的验证次数后,在一段时间内锁定该账号,不再验证。本章将用几行代码实现该功能,完整代码链接在文章最后。

2 原理介绍

可以看到在登录接口中,4行代码即可实现该功能,这里使用Redis可以很方便的记录"登录失败次数",以及设置其失效时间(即锁定时间),主要步骤是:

  1. 账号登录时,当前账号"登录失败次数"默认+1。
  2. 设置"登录失败次数"失效的时间(即锁定时间)。
  3. 当"登录失败次数"大于某个阈值时,就直接返回错误提示,不再走验证逻辑。
  4. 账号登录成功,清除"登录失败次数",重新计数。

注意:第2步和第3步,可以交换顺序。

第2步在前时,锁定中发起请求会导致重新计时。

第3步在前时,锁定中发起请求不会导致重新计时。

3 代码

isTrue是断言方法,不满足条件时,抛出异常,在全局异常处理中,统一返回错误提示。参见Spring全局异常处理HandlerExceptionResolver使用

复制代码
package com.zeroone.service.sys;

import com.zeroone.common.RedisKey;
import com.zeroone.entity.sys.User;
import com.zeroone.service.BaseService;
import com.zeroone.utils.Param;
import org.springframework.stereotype.Service;

import java.util.concurrent.TimeUnit;


@Service("UserService")
public class LoginServiceImpl extends BaseService implements LoginService {


    @Override
    public Object webLogin(Param info) {
        String account = info.getStringNotNull("account").trim();
        String password = info.getStringNotNull("password").trim();

        Long loginFailedCount = redisTemplate.opsForValue().increment(RedisKey.LOGIN_FAILED_COUNT + account, 1);//先将登录失败次数+1
        redisTemplate.expire(RedisKey.LOGIN_FAILED_COUNT + account, 10, TimeUnit.SECONDS);// 指定登录失败次数失效时间
        isTrue(loginFailedCount <= 5, "请10秒后重试!");//当登录失败次数大于阈值后,直接返回错误信息
        //TODO 模拟验证密码
        isTrue(password.equals("12345"), "账号或密码错误,还能重试" + (5 - loginFailedCount) + "次!");
        redisTemplate.delete(RedisKey.LOGIN_FAILED_COUNT + account);// 验证通过后,清除登录失败次数

        User user = new User();
        user.setId(1L);
        user.setName("张三");
        user.setAccount("12345678901@qq.com");
        user.setPhone("12345678901");
        String token = tokenService.createToken(user);
        return token;
    }

    @Override
    public void logout() {
        tokenService.deleteToken();
    }
}

    /**
     * true断言
     *
     * @param expression 参数
     * @param msg        描述
     */
    public void isTrue(boolean expression, String msg) {
        if (!expression) {
            throw new MyRuntimeException(HttpCode.BAD_REQUEST_CODE, msg);
        }
    }

4 测试

  1. 启动项目,请求:http://localhost:8080/web/login,输入错误的密码,提示"账号或密码错误,还能重试X次!"。
  1. 然后连续验证错误5次后,提示"请10秒后重试!",表示该账号被锁定,拒绝验证,且10秒内无法再次请求验证。

5 完整代码

Gitee代码链接

相关推荐
在肯德基吃麻辣烫11 分钟前
《Redis》缓存与分布式锁
redis·分布式·缓存
Seven9718 分钟前
了解GC吗?什么是GC?
java
Edingbrugh.南空32 分钟前
Flink ClickHouse 连接器维表源码深度解析
java·clickhouse·flink
掘金-我是哪吒1 小时前
分布式微服务系统架构第157集:JavaPlus技术文档平台日更-Java多线程编程技巧
java·分布式·微服务·云原生·架构
飞翔的佩奇1 小时前
Java项目:基于SSM框架实现的忘忧小区物业管理系统【ssm+B/S架构+源码+数据库+毕业论文+开题报告】
java·数据库·mysql·vue·毕业设计·ssm框架·小区物业管理系统
RainbowSea1 小时前
跨域问题(Allow CORS)解决(3 种方法)
java·spring boot·后端
掘金-我是哪吒1 小时前
分布式微服务系统架构第155集:JavaPlus技术文档平台日更-Java线程池实现原理
java·分布式·微服务·云原生·架构
RainbowSea1 小时前
问题 1:MyBatis-plus-3.5.9 的分页功能修复
java·spring boot·mybatis
前端 贾公子1 小时前
monorepo + Turborepo --- 开发应用程序
java·前端·javascript
不学会Ⅳ2 小时前
Mac M芯片搭建jdk源码环境(jdk24)
java·开发语言·macos