title: redis-login-limitation

利用 redis 实现登陆次数限制, 注解 + aop, 核心代码很简单.

基本思路

比如希望达到的要求是这样: 在 1min 内登陆异常次数达到5次, 锁定该用户 1h

那么登陆请求的参数中, 会有一个参数唯一标识一个 user, 比如 邮箱/手机号/userName

用这个参数作为key存入redis, 对应的value为登陆错误的次数, string 类型, 并设置过期时间为 1min. 当获取到的 value == "4" , 说明当前请求为第 5 次登陆异常, 锁定.

所谓的锁定, 就是将对应的value设置为某个标识符, 比如"lock", 并设置过期时间为 1h

核心代码

定义一个注解, 用来标识需要登陆次数校验的方法

package io.github.xiaoyureed.redispractice.anno;

import java.lang.annotation.*;

@Documented

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface RedisLimit {

    /**

     * 标识参数名, 必须是请求参数中的一个

     */

    String identifier();

    /**

     * 在多长时间内监控, 如希望在 60s 内尝试

     * 次数限制为5次, 那么 watch=60; unit: s

     */

    long watch();

    /**

     * 锁定时长, unit: s

     */

    long lock();

    /**

     * 错误的尝试次数

     */

    int times();

}

编写切面, 在目标方法前后进行校验, 处理...

package io.github.xiaoyureed.redispractice.aop;

@Component

@Aspect

// Ensure that current advice is outer compared with ControllerAOP

// so we can handling login limitation Exception in this aop advice.

//@Order(9)

@Slf4j

public class RedisLimitAOP {

    @Autowired

    private StringRedisTemplate stringRedisTemplate;

    @Around("@annotation(io.github.xiaoyureed.redispractice.anno.RedisLimit)")

    public Object handleLimit(ProceedingJoinPoint joinPoint) {

        MethodSignature  methodSignature = (MethodSignature) joinPoint.getSignature();

        final Method     method          = methodSignature.getMethod();

        final RedisLimit redisLimitAnno  = method.getAnnotation(RedisLimit.class);// 貌似可以直接在方法参数中注入 todo

        final String identifier = redisLimitAnno.identifier();

        final long   watch      = redisLimitAnno.watch();

        final int    times      = redisLimitAnno.times();

        final long   lock       = redisLimitAnno.lock();

        // final ServletRequestAttributes att             = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();

        // final HttpServletRequest       request         = att.getRequest();

        // final String                   identifierValue = request.getParameter(identifier);

        String identifierValue = null;

        try {

            final Object arg           = joinPoint.getArgs()[0];

            final Field  declaredField = arg.getClass().getDeclaredField(identifier);

            declaredField.setAccessible(true);

            identifierValue = (String) declaredField.get(arg);

        } catch (NoSuchFieldException e) {

            log.error(">>> invalid identifier [{}], cannot find this field in request params", identifier);

        } catch (IllegalAccessException e) {

            e.printStackTrace();

        }

        if (StringUtils.isBlank(identifierValue)) {

            log.error(">>> the value of RedisLimit.identifier cannot be blank, invalid identifier: {}", identifier);

        }

        // check User locked

        final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

        final String                          flag  = ssOps.get(identifierValue);

        if (flag != null && "lock".contentEquals(flag)) {

            final BaseResp result = new BaseResp();

            result.setErrMsg("user locked");

            result.setCode("1");

            return new ResponseEntity<>(result, HttpStatus.OK);

        }

        ResponseEntity result;

        try {

            result = (ResponseEntity) joinPoint.proceed();

        } catch (Throwable e) {

            result = handleLoginException(e, identifierValue, watch, times, lock);

        }

        return result;

    }

    private ResponseEntity handleLoginException(Throwable e, String identifierValue, long watch, int times, long lock) {

        final BaseResp result = new BaseResp();

        result.setCode("1");

        if (e instanceof LoginException) {

            log.info(">>> handle login exception...");

            final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

            Boolean                               exist = stringRedisTemplate.hasKey(identifierValue);

            // key doesn't exist, so it is the first login failure

            if (exist == null || !exist) {

                ssOps.set(identifierValue, "1", watch, TimeUnit.SECONDS);

                result.setErrMsg(e.getMessage());

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            String count = ssOps.get(identifierValue);

            // has been reached the limitation

            if (Integer.parseInt(count) + 1 == times) {

                log.info(">>> [{}] has been reached the limitation and will be locked for {}s", identifierValue, lock);

                ssOps.set(identifierValue, "lock", lock, TimeUnit.SECONDS);

                result.setErrMsg("user locked");

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            ssOps.increment(identifierValue);

            result.setErrMsg(e.getMessage() + "; you have try " + ssOps.get(identifierValue) + "times.");

        }

        log.error(">>> RedisLimitAOP cannot handle {}", e.getClass().getName());

        return new ResponseEntity<>(result, HttpStatus.OK);

    }

}

这样使用:

package io.github.xiaoyureed.redispractice.web;

@RestController

public class SessionResources {

    @Autowired

    private SessionService sessionService;

    /**

     * 1 min 之内尝试超过5次, 锁定 user 1h

     */

    @RedisLimit(identifier = "name", watch = 30, times = 5, lock = 10)

    @RequestMapping(value = "/session", method = RequestMethod.POST)

    public ResponseEntity<LoginResp> login(@Validated @RequestBody LoginReq req) {

        return new ResponseEntity<>(sessionService.login(req), HttpStatus.OK);

    }

}

references

https://github.com/xiaoyureed/redis-login-limitation

redis 实现登陆次数限制的更多相关文章

  1. 【BASIS系列】SAP 中查看account登陆次数及时间的情况

    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[BASIS系列]SAP 中查看account登 ...

  2. Redis解决“重试次数”场景的实现思路

    很多地方都要用到重试次数限制,不然就会被暴力破解.比如登录密码. 下面不是完整代码,只是伪代码,提供一个思路. 第一种(先声明,这样写有个bug) import java.text.MessageFo ...

  3. 【Redis使用系列】redis设置登陆密码

    找到安装redis的配置文件,找到redis.comf文件找到#requirepass foobared 新建一行 requirepass  xxxx 你的密码 ,然后重启.再登录的时候可以登录,但是 ...

  4. shiro 错误登陆次数限制

    第一步:在spring-shiro.xml 中配置缓存管理器和认证匹配器 <!-- 缓存管理器 使用Ehcache实现 --><bean id="cacheManager& ...

  5. 帝国empirecms后台登陆次数限制修改

    打开文件:\e\config\config.php, 找到 'loginnum'=>5, 把5改为自己想要的数字即可

  6. Servlet学习(三)——实例:用户登录并记录登陆次数

    1.前提:在Mysql数据库下建立数据库web13,在web13下创建一张表user,插入几条数据如下: 2.创建HTML文件,命名为login,作为登录界面(以post方式提交) <!DOCT ...

  7. Redis & Python/Django 简单用户登陆

    一.Redis key相关操作: 1.del key [key..] 删除一个或多个key,如果不存在则忽略 2.keys pattern keys模式匹配,符合glob风格通配符,glob风格的通配 ...

  8. Redis+Django(Session,Cookie)的用户系统

    一.Django authentication django authentication提供了一个便利的user api接口,无论在py中 request.user,参见Request and re ...

  9. Redis+Django(Session,Cookie、Cache)的用户系统

    转自 http://www.cnblogs.com/BeginMan/p/3890761.html 一.Django authentication django authentication 提供了一 ...

随机推荐

  1. Shadows 使用说明

    1:下载最新版 Windows地址:点击下载 Mac地址:点击下载 2:Windows安装插件(点击下方插件名即可下载) .NET Framework 4.7.2和 Microsoft Visual ...

  2. local模式运行spark-shell时报错 java.lang.IllegalArgumentException: Error while instantiating 'org.apache.spark.sql.hive.HiveSessionState':

    先前在local模式下,什么都不做修改直接运行./spark-shell 运行什么问题都没有,然后配置过在HADOOP yarn上运行,之后再在local模式下运行出现以下错误: java.lang. ...

  3. java file 常用操作

    File file = new File("D:\\javaClass\\image"); // 测试此抽象路径名表示的文件或目录是否存在. // 当且仅当此抽象路径名表示的文件或 ...

  4. SQL SERVER 从其它数据库中复制带自增ID主键的表数据

    SQL SERVER两个结构相同(或不同)的表,互相导入数据,方法有两种: 1.使用SQL SERVER 自带的导出.导入功能,在库名上右击,“任务”,导出数据.导入数据,这个操作具体不就不多讲了. ...

  5. LeetCode 560. 和为K的子数组(Subarray Sum Equals K)

    题目描述 给定一个整数数组和一个整数 k,你需要找到该数组中和为 k 的连续的子数组的个数. 示例 1 : 输入:nums = [1,1,1], k = 2 输出: 2 , [1,1] 与 [1,1] ...

  6. 自然语言处理基础与实战(8)- 主题模型LDA理解与应用

    本文主要用于理解主题模型LDA(Latent Dirichlet Allocation)其背后的数学原理及其推导过程.本菇力求用简单的推理来论证LDA背后复杂的数学知识,苦于自身数学基础不够,因此文中 ...

  7. sklearn中的弹性网函数 ElasticNet

    语法:  ElasticNet(self, alpha=1.0, l1_ratio=0.5, fit_intercept=True, normalize=False, precompute=False ...

  8. 安装openssh-server报Depends: openssh-client (= 1:6.6p1-2ubuntu2.8)错误

    SFTP称作“安全的FTP”,它使用ssh文件传输协议.所以我们需要安装openssh-server ubuntu自带的有openssh-client,所以可以通过 ssh username@host ...

  9. Android:系统自定义鼠标样式切换

    一.APP通过View修改鼠标样式 app view上修改鼠标样式比较简单,通过 hover event 获取鼠标坐标并使用如下方法修改为自定义图片: getWindow().getDecorView ...

  10. CentOS7下搭建zabbix监控(一)——Zabbix监控端配置

    zabbix 是一个基于 WEB 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案.zabbix 能监视各种网络参数,保证服务器系统的安全运营:并提供灵活的通知机制以让系统管理员快速定位 ...