好久没更博了...

最近看了个真正全注解实现的 SpringMVC 博客,感觉很不错,终于可以彻底丢弃 web.xml 了。其实这玩意也是老东西了,丢弃 web.xml,是基于 5、6年前发布的 Servlet 3.0 规范,只不过少有人玩而已...现在4.0都快正式发布了...Spring对注解的支持也从09年底就开始支持了...

基础部分我就不仔细讲了,可以先看一下这篇 以及其中提到的另外两篇文章,这三篇文章讲的很不错。

下面开始旧东西新玩~~~

构建

项目是基于 gradle 3.1构建的,这是项目依赖:

dependencies {

  def springVersion = '4.3.2.RELEASE'

  compile "org.springframework:spring-web:$springVersion"

  compile "org.springframework:spring-webmvc:$springVersion"

  compile "redis.clients:jedis:2.9.0"

  compile "javax.servlet:javax.servlet-api:3.1.0"

  compile "org.json:json:20160810"

}

编写Java版的web.xml

想要让请求经过Java,少不了配置 web.xml,不过现在我们来写个Java版的~

这里和传统的 web.xml 一样,依次添加 filterservlet

package org.xueliang.loginsecuritybyredis.commons;

import javax.servlet.FilterRegistration;

import javax.servlet.Servlet;

import javax.servlet.ServletContext;

import javax.servlet.ServletException;

import javax.servlet.ServletRegistration;

import org.springframework.web.WebApplicationInitializer;

import org.springframework.web.context.support.AnnotationConfigWebApplicationContext;

import org.springframework.web.filter.CharacterEncodingFilter;

import org.springframework.web.servlet.DispatcherServlet;

/**

 * 基于注解的/WEB-INF/web.xml

 * 依赖 servlet 3.0

 * @author XueLiang

 * @date 2016年10月24日 下午5:58:45

 * @version 1.0

 */

public class CommonInitializer implements WebApplicationInitializer {

  @Override

  public void onStartup(ServletContext servletContext) throws ServletException {

    // 基于注解配置的Web容器上下文

    AnnotationConfigWebApplicationContext context = new AnnotationConfigWebApplicationContext();

    context.register(WebAppConfig.class);

    // 添加编码过滤器并进行映射

    CharacterEncodingFilter characterEncodingFilter = new CharacterEncodingFilter("UTF-8", true);

    FilterRegistration.Dynamic dynamicFilter = servletContext.addFilter("characterEncodingFilter", characterEncodingFilter);

    dynamicFilter.addMappingForUrlPatterns(null, true, "/*");

    // 添加静态资源映射

    ServletRegistration defaultServletRegistration = servletContext.getServletRegistration("default");

    defaultServletRegistration.addMapping("*.html");

    Servlet dispatcherServlet = new DispatcherServlet(context);

    ServletRegistration.Dynamic dynamicServlet = servletContext.addServlet("dispatcher", dispatcherServlet);

    dynamicServlet.addMapping("/");

  }

}

这一步走完,Spring 基本上启动起来了。

编写Java版的Spring配置

现在Spring已经可以正常启动了,但我们还要给 Spring 做一些配置,以便让它按我们需要的方式工作~

这里因为后端只负责提供数据,而不负责页面渲染,所以只需要配置返回 json 视图即可,个人比较偏爱采用内容协商,所以这里我使用了 ContentNegotiationManagerFactoryBean,但只配置了一个 JSON 格式的视图。

为了避免中文乱码,这里设置了 StringHttpMessageConverter 默认编码格式为 UTF-8,然后将其设置为 RequestMappingHandlerAdapter 的消息转换器。

最后还需要再配置一个欢迎页,类似于 web.xmlwelcome-file-list - welcome-file,因为 Servlet 3.0 规范没有针对欢迎页的Java配置方案,所以目前只能在Java中这样配置,其效果类似于在XML版中配置 <mvc:redirect-view-controller path="/" redirect-url="/index.html"/>

最后注意这里的 @Bean 注解,默认的 name 是方法名。

package org.xueliang.loginsecuritybyredis.commons;

import java.nio.charset.Charset;

import java.util.Collections;

import java.util.Properties;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.ComponentScan;

import org.springframework.context.annotation.Configuration;

import org.springframework.context.annotation.PropertySource;

import org.springframework.http.MediaType;

import org.springframework.http.converter.StringHttpMessageConverter;

import org.springframework.web.accept.ContentNegotiationManager;

import org.springframework.web.accept.ContentNegotiationManagerFactoryBean;

import org.springframework.web.servlet.config.annotation.EnableWebMvc;

import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter;

import org.springframework.web.servlet.view.ContentNegotiatingViewResolver;

@Configuration

@EnableWebMvc

@ComponentScan(basePackages = "org.xueliang.loginsecuritybyredis")

@PropertySource({"classpath:loginsecuritybyredis.properties"})

public class WebAppConfig extends WebMvcConfigurerAdapter {

	/**

	 * 内容协商

	 * @return

	 */

	@Bean

	public ContentNegotiationManager mvcContentNegotiationManager() {

	    ContentNegotiationManagerFactoryBean contentNegotiationManagerFactoryBean = new ContentNegotiationManagerFactoryBean();

	    contentNegotiationManagerFactoryBean.setFavorParameter(true);

	    contentNegotiationManagerFactoryBean.setIgnoreAcceptHeader(true);

	    contentNegotiationManagerFactoryBean.setDefaultContentType(MediaType.APPLICATION_JSON_UTF8);

	    Properties mediaTypesProperties = new Properties();

	    mediaTypesProperties.setProperty("json", MediaType.APPLICATION_JSON_UTF8_VALUE);

	    contentNegotiationManagerFactoryBean.setMediaTypes(mediaTypesProperties);

	    contentNegotiationManagerFactoryBean.afterPropertiesSet();

		return contentNegotiationManagerFactoryBean.getObject();

	}

	@Bean

	public ContentNegotiatingViewResolver contentNegotiatingViewResolver(@Autowired ContentNegotiationManager mvcContentNegotiationManager) {

		ContentNegotiatingViewResolver contentNegotiatingViewResolver = new ContentNegotiatingViewResolver();

		contentNegotiatingViewResolver.setOrder(1);

		contentNegotiatingViewResolver.setContentNegotiationManager(mvcContentNegotiationManager);

		return contentNegotiatingViewResolver;

	}

	/**

	 * 采用UTF-8编码,防止中文乱码

	 * @return

	 */

	@Bean

	public StringHttpMessageConverter stringHttpMessageConverter() {

		return new StringHttpMessageConverter(Charset.forName("UTF-8"));

	}

	@Bean

	public RequestMappingHandlerAdapter requestMappingHandlerAdapter(@Autowired StringHttpMessageConverter stringHttpMessageConverter) {

		RequestMappingHandlerAdapter requestMappingHandlerAdapter = new RequestMappingHandlerAdapter();

		requestMappingHandlerAdapter.setMessageConverters(Collections.singletonList(stringHttpMessageConverter));

		return requestMappingHandlerAdapter;

	}

	/**

	 * 设置欢迎页

	 * 相当于web.xml中的 welcome-file-list > welcome-file

	 */

	@Override

	public void addViewControllers(ViewControllerRegistry registry) {

		registry.addRedirectViewController("/", "/index.html");

	}

}

编写登录认证Api

这里在 init 方法中初始化几个用户,放入 USER_DATA 集合,用于后续模拟登录。然后初始化 jedis 连接信息。init 方法被 @PostConstruct 注解,因此 Spring 创建该类的对象后,将自动执行其 init 方法,进行初始化操作。

然后看 login 方法,首先根据用户名获取最近 MAX_DISABLED_SECONDS 秒内失败的次数,是否超过最大限制 MAX_TRY_COUNT

若超过最大限制,不再对用户名和密码进行认证,直接返回认证失败提示信息,也即账户已被锁定的提示信息。

否则,进行用户认证。

若认证失败,将其添加到 Redis 缓存中,并设置过期默认为 MAX_DISABLED_SECONDS,表示从此刻起,MAX_DISABLED_SECONDS 秒内,该用户已登录失败 count 次。

若Redis缓存中已存在该用户认证失败的计数信息,则刷新 count 值,并将旧值的剩余存活时间设置到新值上,然后返回认证失败提示信息。

否则,返回认证成功提示信息。

package org.xueliang.loginsecuritybyredis.web.controller.api;

import java.util.HashMap;

import java.util.Map;

import javax.annotation.PostConstruct;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RequestParam;

import org.springframework.web.bind.annotation.RestController;

import org.xueliang.loginsecuritybyredis.web.model.JSONResponse;

import org.xueliang.loginsecuritybyredis.web.model.User;

import redis.clients.jedis.Jedis;

/**

 * 认证类

 * @author XueLiang

 * @date 2016年11月1日 下午4:11:59

 * @version 1.0

 */

@RestController

@RequestMapping("/api/auth/")

public class AuthApi {

  private static final Map<String, User> USER_DATA = new HashMap<String, User>();

  @Value("${auth.max_try_count}")

  private int MAX_TRY_COUNT = 0;

  @Value("${auth.max_disabled_seconds}")

  private int MAX_DISABLED_SECONDS = 0;

  @Value("${redis.host}")

  private String host;

  @Value("${redis.port}")

  private int port;

  private Jedis jedis;

  @PostConstruct

  public void init() {

    for (int i = 0; i < 3; i++) {

      String username = "username" + 0;

      String password = "password" + 0;

      USER_DATA.put(username + "_" + password, new User(username, "nickname" + i));

    }

    jedis = new Jedis(host, port);

  }

  @RequestMapping(value = {"login"}, method = RequestMethod.POST)

  public String login(@RequestParam("username") String username, @RequestParam("password") String password) {

    JSONResponse jsonResponse = new JSONResponse();

    String key = username;

    String countString = jedis.get(key);

    boolean exists = countString != null;

    int count = exists ? Integer.parseInt(countString) : 0;

    if (count >= MAX_TRY_COUNT) {

      checkoutMessage(key, count, jsonResponse);

      return jsonResponse.toString();

    }

    User user = USER_DATA.get(username + "_" + password);

    if (user == null) {

      count++;

      int secondsRemain = MAX_DISABLED_SECONDS;

      if (exists && count < 5) {

        secondsRemain = (int)(jedis.pttl(key) / 1000);

      }

      jedis.set(key, count + "");

      jedis.expire(key, secondsRemain);

      checkoutMessage(key, count, jsonResponse);

      return jsonResponse.toString();

    }

    count = 0;

    if (exists) {

      jedis.del(key);

    }

    checkoutMessage(key, count, jsonResponse);

    return jsonResponse.toString();

  }

  /**

   *

   * @param key

   * @param count 尝试次数,也可以改为从redis里直接读

   * @param jsonResponse

   * @return

   */

  private void checkoutMessage(String key, int count, JSONResponse jsonResponse) {

    if (count == 0) {

      jsonResponse.setCode(0);

      jsonResponse.addMsg("success", "恭喜,登录成功!");

      return;

    }

    jsonResponse.setCode(1);

    if (count >= MAX_TRY_COUNT) {

      long pttlSeconds = jedis.pttl(key) / 1000;

      long hours = pttlSeconds / 3600;

      long sencondsRemain = pttlSeconds - hours * 3600;

      long minutes = sencondsRemain / 60;

      long seconds = sencondsRemain - minutes * 60;

      jsonResponse.addError("login_disabled", "登录超过" + MAX_TRY_COUNT + "次,请" + hours + "小时" + minutes + "分" + seconds + "秒后再试!");

      return;

    }

    jsonResponse.addError("username_or_password_is_wrong", "密码错误,您还有 " + (MAX_TRY_COUNT - count) + " 次机会!");

  }

}

编写前端页面

页面很简单,监听表单提交事件,用 ajax 提交表单数据,然后将认证结果显示到 div 中。

<!DOCTYPE html>

<html>

<head>

<meta charset="UTF-8">

<title>登录</title>

<style>

  span.error {

    color: red;

  }

  span.msg {

    color: green;

  }

</style>

</head>

<body>

<form action="" method="post">

  <label>用户名</label><input type="text" name="username">

  <label>密码</label><input type="text" name="password">

  <button type="submit">登录</button>

  <div></div>

</form>

<script>

  (function($) {

    var $ = (selector) => document.querySelector(selector);

    var xhr = new XMLHttpRequest();

    xhr.onreadystatechange = function() {

      if (this.readyState == 4 && this.status == 200) {

        var response = JSON.parse(this.responseText);

        var html = '';

        var msgNode = '';

        if (response.code != 0) {

          msgNode = 'error';

        } else {

          msgNode = 'msg';

        }

        for (var key in response[msgNode]) {

          html += '<span class="' + msgNode + '">' + response[msgNode][key] + '</span>';

        }

        $('div').innerHTML = html;

      }

    }

    var ajax = function(formData) {

      xhr.open('POST', '/api/auth/login.json', true);

      xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset=UTF-8'); // 将请求头设置为表单方式提交

      xhr.send(formData);

    }

    $('form').addEventListener('submit', function(event) {

      event.preventDefault();

      var formData = '';

      for (var elem of ['username', 'password']) {

        var value = $('input[name="' + elem + '"]').value;

        formData += (elem + '=' + value + '&');

      }

      ajax(formData);

    });

  })();

</script>

</body>

</html>

源码

最后上下源码地址:https://github.com/liangzai-cool/loginsecuritybyredis

更新

2016年11月29日 更新,代码优化,增加原子操作,org.xueliang.loginsecuritybyredis.web.controller.api.AuthApi#login 函数作如下优化:

    @RequestMapping(value = {"login"}, method = RequestMethod.POST)

    public String login(@RequestParam("username") String username, @RequestParam("password") String password) {

        JSONResponse jsonResponse = new JSONResponse();

        String key = username;

        String countString = jedis.get(key);

        boolean exists = countString != null;

        int count = exists ? Integer.parseInt(countString) : 0;

        if (count >= MAX_TRY_COUNT) {

            checkoutMessage(key, count, jsonResponse);

            return jsonResponse.toString();

        }

        User user = USER_DATA.get(username + "_" + password);

        if (user == null) {

            count++;

//            int secondsRemain = MAX_DISABLED_SECONDS;

//            if (exists && count < 5) {

//                secondsRemain = (int)(jedis.pttl(key) / 1000);

//            }

//            jedis.set(key, count + "");

//            jedis.expire(key, secondsRemain);

            if (exists) {

                jedis.incr(key);

                if (count >= MAX_TRY_COUNT) {

                    jedis.expire(key, MAX_DISABLED_SECONDS);

                }

            } else {

                jedis.set(key, count + "");

                jedis.expire(key, MAX_DISABLED_SECONDS);

            }

            checkoutMessage(key, count, jsonResponse);

            return jsonResponse.toString();

        }

        count = 0;

        if (exists) {

            jedis.del(key);

        }

        checkoutMessage(key, count, jsonResponse);

        return jsonResponse.toString();

    }

原文链接http://xueliang.org/article/detail/20161102173458963

Spring RESTful + Redis全注解实现恶意登录保护机制的更多相关文章

  1. Spring 反射注入+全注解注入

    Spring IoC容器会先把所有的Bean都进行实例化,不管是要用到的火鼠用不到的,如果你想暂时不进行Bean的实例化,要用到属性lazy-init="true". Spring ...

  2. Spring集成Redis使用注解

    转载:http://blog.csdn.net/u013725455/article/details/52129283 使用Maven项目,添加jar文件依赖: <project xmlns=& ...

  3. spring mvc+redis实现微信小程序登录

    本文将详细的介绍微信小程序的登录流程以及在ssm框架下如何实现小程序用户登录 登录流程概要 主要的登录流程可以参考官方提供的一张流程图: 1.微信前台页面: 在微信版本更新之后,提高了安全机制,我们需 ...

  4. 详解spring boot mybatis全注解化

    本文重点介绍spring boot mybatis 注解化的实例代码 1.pom.xml //引入mybatis <dependency> <groupId>org.mybat ...

  5. SpringMVC 全注解实现 (1) servlet3.0以上的容器支持

    一. Spring MVC入门 1.1 request的处理过程 用户每次点击浏览器界面的一个按钮,都发出一个web请求(request).一个web请求的工作就像一个快递员,负责将信息从一个地方运送 ...

  6. 容错保护机制:Spring Cloud Hystrix

    最近在学习Spring Cloud的知识,现将容错保护机制Spring Cloud Hystrix 的相关知识笔记整理如下.[采用 oneNote格式排版]

  7. 基于IDEA 最新Spirng3.2+hibernate4+struts2.3 全注解配置 登录

    原文 基于IDEA 最新Spirng3.2+hibernate4+struts2.3 全注解配置 登录 首先说说 IDEA 12,由于myeclipse越来越卡,我改用idea12 了,发现其功能强悍 ...

  8. spring配置redis注解缓存

    前几天在spring整合Redis的时候使用了手动的方式,也就是可以手动的向redis添加缓存与清除缓存,参考:http://www.cnblogs.com/qlqwjy/p/8562703.html ...

  9. Spring MVC 3.0.5+Spring 3.0.5+MyBatis3.0.4全注解实例详解(一)

    Spring更新到3.0之后,其MVC框架加入了一个非常不错的东西——那就是REST.它的开放式特性,与Spring的无缝集成,以及Spring框架的优秀表现,使得现在很多公司将其作为新的系统开发框架 ...

随机推荐

  1. 样式(Style)和主题(Theme)资源——主题资源

    与样式资源非常相似,主题资源的XML文件通常也放在/res/values 目录下,主题资源的XML文档同样以<resources.../>元素作为根元素,同样使用<style.../ ...

  2. Delphi中上指定进程(进程名)

    procedure KillProcess(ExeName: string); const PROCESS_TERMINATE = $0001; //进程的PROCESS_TERMINATE访问权限 ...

  3. js模块化开发——require.js的用法

    这个系列的第一部分和第二部分,介绍了Javascript模块原型和理论概念,今天介绍如何将它们用于实战. 我采用的是一个非常流行的库require.js. 一.为什么要用require.js? 最早的 ...

  4. Servlet 应用程序事件、监听器

    Web容器管理Servlet/JSP相关的生命周期,若对HttpServletRequest对象.HttpSession对象.ServletContxt对象在生成.销毁或相关属性设置发生的时机点有兴趣 ...

  5. java实现算术表达式求值

    需要根据配置的表达式(例如:5+12*(3+5)/7.0)计算出相应的结果,因此使用java中的栈利用后缀表达式的方式实现该工具类. 后缀表达式就是将操作符放在操作数的后面展示的方式,例如:3+2 后 ...

  6. PHP安全编程

    转自:http://www.nowamagic.net/librarys/veda/detail/2076   1.关闭register_globals,以提高安全性 2.在部署环境,不要让不相关的人 ...

  7. Netty学习笔记

    一些类与方法说明 1)ByteBuf ByteBuf的API说明: Creation of a buffer It is recommended to create a new buffer usin ...

  8. WebRTC音视频引擎研究(2)--VoiceEngine音频编解码器数据结构以及参数设置

    1.VoiceEngine Codec数据结构 WebRTC中,用一个结构体struct CodecInst表示特定的音频编解码器对象: struct CodecInst { int pltype;  ...

  9. 私有云存储搭建(owncloud)

    第一步.搭建LAMP(基于linux7.1.1503) 1 配置yum(网络加本地,下面为网络) [vault.centos.org_7.1.1503_os_x86_64_] name=added f ...

  10. OGG学习笔记04-OGG复制部署快速参考

    OGG学习笔记04-OGG复制部署快速参考 源端:Oracle 10.2.0.5 RAC + ASM 节点1 Public IP地址:192.168.1.27 目标端:Oracle 10.2.0.5 ...