title: redis-login-limitation

利用 redis 实现登陆次数限制, 注解 + aop, 核心代码很简单.

基本思路

比如希望达到的要求是这样: 在 1min 内登陆异常次数达到5次, 锁定该用户 1h

那么登陆请求的参数中, 会有一个参数唯一标识一个 user, 比如 邮箱/手机号/userName

用这个参数作为key存入redis, 对应的value为登陆错误的次数, string 类型, 并设置过期时间为 1min. 当获取到的 value == "4" , 说明当前请求为第 5 次登陆异常, 锁定.

所谓的锁定, 就是将对应的value设置为某个标识符, 比如"lock", 并设置过期时间为 1h

核心代码

定义一个注解, 用来标识需要登陆次数校验的方法

package io.github.xiaoyureed.redispractice.anno;

import java.lang.annotation.*;

@Documented

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface RedisLimit {

    /**

     * 标识参数名, 必须是请求参数中的一个

     */

    String identifier();

    /**

     * 在多长时间内监控, 如希望在 60s 内尝试

     * 次数限制为5次, 那么 watch=60; unit: s

     */

    long watch();

    /**

     * 锁定时长, unit: s

     */

    long lock();

    /**

     * 错误的尝试次数

     */

    int times();

}

编写切面, 在目标方法前后进行校验, 处理...

package io.github.xiaoyureed.redispractice.aop;

@Component

@Aspect

// Ensure that current advice is outer compared with ControllerAOP

// so we can handling login limitation Exception in this aop advice.

//@Order(9)

@Slf4j

public class RedisLimitAOP {

    @Autowired

    private StringRedisTemplate stringRedisTemplate;

    @Around("@annotation(io.github.xiaoyureed.redispractice.anno.RedisLimit)")

    public Object handleLimit(ProceedingJoinPoint joinPoint) {

        MethodSignature  methodSignature = (MethodSignature) joinPoint.getSignature();

        final Method     method          = methodSignature.getMethod();

        final RedisLimit redisLimitAnno  = method.getAnnotation(RedisLimit.class);// 貌似可以直接在方法参数中注入 todo

        final String identifier = redisLimitAnno.identifier();

        final long   watch      = redisLimitAnno.watch();

        final int    times      = redisLimitAnno.times();

        final long   lock       = redisLimitAnno.lock();

        // final ServletRequestAttributes att             = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();

        // final HttpServletRequest       request         = att.getRequest();

        // final String                   identifierValue = request.getParameter(identifier);

        String identifierValue = null;

        try {

            final Object arg           = joinPoint.getArgs()[0];

            final Field  declaredField = arg.getClass().getDeclaredField(identifier);

            declaredField.setAccessible(true);

            identifierValue = (String) declaredField.get(arg);

        } catch (NoSuchFieldException e) {

            log.error(">>> invalid identifier [{}], cannot find this field in request params", identifier);

        } catch (IllegalAccessException e) {

            e.printStackTrace();

        }

        if (StringUtils.isBlank(identifierValue)) {

            log.error(">>> the value of RedisLimit.identifier cannot be blank, invalid identifier: {}", identifier);

        }

        // check User locked

        final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

        final String                          flag  = ssOps.get(identifierValue);

        if (flag != null && "lock".contentEquals(flag)) {

            final BaseResp result = new BaseResp();

            result.setErrMsg("user locked");

            result.setCode("1");

            return new ResponseEntity<>(result, HttpStatus.OK);

        }

        ResponseEntity result;

        try {

            result = (ResponseEntity) joinPoint.proceed();

        } catch (Throwable e) {

            result = handleLoginException(e, identifierValue, watch, times, lock);

        }

        return result;

    }

    private ResponseEntity handleLoginException(Throwable e, String identifierValue, long watch, int times, long lock) {

        final BaseResp result = new BaseResp();

        result.setCode("1");

        if (e instanceof LoginException) {

            log.info(">>> handle login exception...");

            final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

            Boolean                               exist = stringRedisTemplate.hasKey(identifierValue);

            // key doesn't exist, so it is the first login failure

            if (exist == null || !exist) {

                ssOps.set(identifierValue, "1", watch, TimeUnit.SECONDS);

                result.setErrMsg(e.getMessage());

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            String count = ssOps.get(identifierValue);

            // has been reached the limitation

            if (Integer.parseInt(count) + 1 == times) {

                log.info(">>> [{}] has been reached the limitation and will be locked for {}s", identifierValue, lock);

                ssOps.set(identifierValue, "lock", lock, TimeUnit.SECONDS);

                result.setErrMsg("user locked");

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            ssOps.increment(identifierValue);

            result.setErrMsg(e.getMessage() + "; you have try " + ssOps.get(identifierValue) + "times.");

        }

        log.error(">>> RedisLimitAOP cannot handle {}", e.getClass().getName());

        return new ResponseEntity<>(result, HttpStatus.OK);

    }

}

这样使用:

package io.github.xiaoyureed.redispractice.web;

@RestController

public class SessionResources {

    @Autowired

    private SessionService sessionService;

    /**

     * 1 min 之内尝试超过5次, 锁定 user 1h

     */

    @RedisLimit(identifier = "name", watch = 30, times = 5, lock = 10)

    @RequestMapping(value = "/session", method = RequestMethod.POST)

    public ResponseEntity<LoginResp> login(@Validated @RequestBody LoginReq req) {

        return new ResponseEntity<>(sessionService.login(req), HttpStatus.OK);

    }

}

references

https://github.com/xiaoyureed/redis-login-limitation

redis 实现登陆次数限制的更多相关文章

  1. 【BASIS系列】SAP 中查看account登陆次数及时间的情况

    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[BASIS系列]SAP 中查看account登 ...

  2. Redis解决“重试次数”场景的实现思路

    很多地方都要用到重试次数限制,不然就会被暴力破解.比如登录密码. 下面不是完整代码,只是伪代码,提供一个思路. 第一种(先声明,这样写有个bug) import java.text.MessageFo ...

  3. 【Redis使用系列】redis设置登陆密码

    找到安装redis的配置文件,找到redis.comf文件找到#requirepass foobared 新建一行 requirepass  xxxx 你的密码 ,然后重启.再登录的时候可以登录,但是 ...

  4. shiro 错误登陆次数限制

    第一步:在spring-shiro.xml 中配置缓存管理器和认证匹配器 <!-- 缓存管理器 使用Ehcache实现 --><bean id="cacheManager& ...

  5. 帝国empirecms后台登陆次数限制修改

    打开文件:\e\config\config.php, 找到 'loginnum'=>5, 把5改为自己想要的数字即可

  6. Servlet学习(三)——实例:用户登录并记录登陆次数

    1.前提:在Mysql数据库下建立数据库web13,在web13下创建一张表user,插入几条数据如下: 2.创建HTML文件,命名为login,作为登录界面(以post方式提交) <!DOCT ...

  7. Redis & Python/Django 简单用户登陆

    一.Redis key相关操作: 1.del key [key..] 删除一个或多个key,如果不存在则忽略 2.keys pattern keys模式匹配,符合glob风格通配符,glob风格的通配 ...

  8. Redis+Django(Session,Cookie)的用户系统

    一.Django authentication django authentication提供了一个便利的user api接口,无论在py中 request.user,参见Request and re ...

  9. Redis+Django(Session,Cookie、Cache)的用户系统

    转自 http://www.cnblogs.com/BeginMan/p/3890761.html 一.Django authentication django authentication 提供了一 ...

随机推荐

  1. python3 系统监控脚本(2) (监控CPU,内存等信息)

    #!/usr/bin/env python3 #create at 2018-12-04 'this is a system monitor scripts' __author__="yjt ...

  2. harukaの收藏夹

    #include<map> 比较好的图论作图网站 heap Sth About EXCRT OI-Wiki 数学 树形dp入门 开开心心学背包 一起复习qwq 模板库(非原创) LaTex ...

  3. 网DAI之家简单爬取

    用requests和bs做个简单的爬取网DAI之家的例子. 只做笔记用. #!/usr/bin/python3 import requestsfrom bs4 import BeautifulSoup ...

  4. Python实现协程

    什么是进程和线程 有一定基础的小伙伴们肯定都知道进程和线程. 进程是什么呢? 直白地讲,进程就是应用程序的启动实例.比如我们运行一个游戏,打开一个软件,就是开启了一个进程. 进程拥有代码和打开的文件资 ...

  5. unctf esayrop wp

    目录 题目基本信息 题目漏洞 思路 exp脚本 题目基本信息 题目漏洞 首先在main函数中需要绕过一个if判断才能进入漏洞函数 漏洞函数中很明显的栈溢出漏洞,同时还控制了返回地址不能超过文件映射到内 ...

  6. Lasso回归的坐标下降法推导

    目标函数 Lasso相当于带有L1正则化项的线性回归.先看下目标函数:RSS(w)+λ∥w∥1=∑Ni=0(yi−∑Dj=0wjhj(xi))2+λ∑Dj=0∣wj∣RSS(w)+λ∥w∥1=∑i=0 ...

  7. qt Qt5开发

    本章将介绍使用Qt5开发.我们将告诉你如何安装Qt SDK,如何使用Qt Creator IDE创建以及运行一个简单的Hello World应用程序. 一.安装Qt5 SDK Qt SDK包括构建桌面 ...

  8. python-pptx add_image_picture

  9. keras Model 1 入门篇

    1 入门 2 多个输入和输出 3 共享层 最近在学习keras,它有一些实现好的特征提取的模型:resNet.vgg.而且是带权重的.用来做特诊提取比较方便 首先要知道keras有两种定义模型的方式: ...

  10. [Java复习] MQ

    1. 为什么要用MQ? 解耦,异步,削峰 2. MQ的优点和缺点? 优点: 解耦.异步.削峰 缺点: 1. 系统可用性降低. 外部依赖越多,越容易挂.如果MQ挂了,怎么处理? 2. 系统复杂度提高. ...