title: redis-login-limitation

利用 redis 实现登陆次数限制, 注解 + aop, 核心代码很简单.

基本思路

比如希望达到的要求是这样: 在 1min 内登陆异常次数达到5次, 锁定该用户 1h

那么登陆请求的参数中, 会有一个参数唯一标识一个 user, 比如 邮箱/手机号/userName

用这个参数作为key存入redis, 对应的value为登陆错误的次数, string 类型, 并设置过期时间为 1min. 当获取到的 value == "4" , 说明当前请求为第 5 次登陆异常, 锁定.

所谓的锁定, 就是将对应的value设置为某个标识符, 比如"lock", 并设置过期时间为 1h

核心代码

定义一个注解, 用来标识需要登陆次数校验的方法

package io.github.xiaoyureed.redispractice.anno;

import java.lang.annotation.*;

@Documented

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface RedisLimit {

    /**

     * 标识参数名, 必须是请求参数中的一个

     */

    String identifier();

    /**

     * 在多长时间内监控, 如希望在 60s 内尝试

     * 次数限制为5次, 那么 watch=60; unit: s

     */

    long watch();

    /**

     * 锁定时长, unit: s

     */

    long lock();

    /**

     * 错误的尝试次数

     */

    int times();

}

编写切面, 在目标方法前后进行校验, 处理...

package io.github.xiaoyureed.redispractice.aop;

@Component

@Aspect

// Ensure that current advice is outer compared with ControllerAOP

// so we can handling login limitation Exception in this aop advice.

//@Order(9)

@Slf4j

public class RedisLimitAOP {

    @Autowired

    private StringRedisTemplate stringRedisTemplate;

    @Around("@annotation(io.github.xiaoyureed.redispractice.anno.RedisLimit)")

    public Object handleLimit(ProceedingJoinPoint joinPoint) {

        MethodSignature  methodSignature = (MethodSignature) joinPoint.getSignature();

        final Method     method          = methodSignature.getMethod();

        final RedisLimit redisLimitAnno  = method.getAnnotation(RedisLimit.class);// 貌似可以直接在方法参数中注入 todo

        final String identifier = redisLimitAnno.identifier();

        final long   watch      = redisLimitAnno.watch();

        final int    times      = redisLimitAnno.times();

        final long   lock       = redisLimitAnno.lock();

        // final ServletRequestAttributes att             = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();

        // final HttpServletRequest       request         = att.getRequest();

        // final String                   identifierValue = request.getParameter(identifier);

        String identifierValue = null;

        try {

            final Object arg           = joinPoint.getArgs()[0];

            final Field  declaredField = arg.getClass().getDeclaredField(identifier);

            declaredField.setAccessible(true);

            identifierValue = (String) declaredField.get(arg);

        } catch (NoSuchFieldException e) {

            log.error(">>> invalid identifier [{}], cannot find this field in request params", identifier);

        } catch (IllegalAccessException e) {

            e.printStackTrace();

        }

        if (StringUtils.isBlank(identifierValue)) {

            log.error(">>> the value of RedisLimit.identifier cannot be blank, invalid identifier: {}", identifier);

        }

        // check User locked

        final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

        final String                          flag  = ssOps.get(identifierValue);

        if (flag != null && "lock".contentEquals(flag)) {

            final BaseResp result = new BaseResp();

            result.setErrMsg("user locked");

            result.setCode("1");

            return new ResponseEntity<>(result, HttpStatus.OK);

        }

        ResponseEntity result;

        try {

            result = (ResponseEntity) joinPoint.proceed();

        } catch (Throwable e) {

            result = handleLoginException(e, identifierValue, watch, times, lock);

        }

        return result;

    }

    private ResponseEntity handleLoginException(Throwable e, String identifierValue, long watch, int times, long lock) {

        final BaseResp result = new BaseResp();

        result.setCode("1");

        if (e instanceof LoginException) {

            log.info(">>> handle login exception...");

            final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

            Boolean                               exist = stringRedisTemplate.hasKey(identifierValue);

            // key doesn't exist, so it is the first login failure

            if (exist == null || !exist) {

                ssOps.set(identifierValue, "1", watch, TimeUnit.SECONDS);

                result.setErrMsg(e.getMessage());

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            String count = ssOps.get(identifierValue);

            // has been reached the limitation

            if (Integer.parseInt(count) + 1 == times) {

                log.info(">>> [{}] has been reached the limitation and will be locked for {}s", identifierValue, lock);

                ssOps.set(identifierValue, "lock", lock, TimeUnit.SECONDS);

                result.setErrMsg("user locked");

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            ssOps.increment(identifierValue);

            result.setErrMsg(e.getMessage() + "; you have try " + ssOps.get(identifierValue) + "times.");

        }

        log.error(">>> RedisLimitAOP cannot handle {}", e.getClass().getName());

        return new ResponseEntity<>(result, HttpStatus.OK);

    }

}

这样使用:

package io.github.xiaoyureed.redispractice.web;

@RestController

public class SessionResources {

    @Autowired

    private SessionService sessionService;

    /**

     * 1 min 之内尝试超过5次, 锁定 user 1h

     */

    @RedisLimit(identifier = "name", watch = 30, times = 5, lock = 10)

    @RequestMapping(value = "/session", method = RequestMethod.POST)

    public ResponseEntity<LoginResp> login(@Validated @RequestBody LoginReq req) {

        return new ResponseEntity<>(sessionService.login(req), HttpStatus.OK);

    }

}

references

https://github.com/xiaoyureed/redis-login-limitation

redis 实现登陆次数限制的更多相关文章

  1. 【BASIS系列】SAP 中查看account登陆次数及时间的情况

    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[BASIS系列]SAP 中查看account登 ...

  2. Redis解决“重试次数”场景的实现思路

    很多地方都要用到重试次数限制,不然就会被暴力破解.比如登录密码. 下面不是完整代码,只是伪代码,提供一个思路. 第一种(先声明,这样写有个bug) import java.text.MessageFo ...

  3. 【Redis使用系列】redis设置登陆密码

    找到安装redis的配置文件,找到redis.comf文件找到#requirepass foobared 新建一行 requirepass  xxxx 你的密码 ,然后重启.再登录的时候可以登录,但是 ...

  4. shiro 错误登陆次数限制

    第一步:在spring-shiro.xml 中配置缓存管理器和认证匹配器 <!-- 缓存管理器 使用Ehcache实现 --><bean id="cacheManager& ...

  5. 帝国empirecms后台登陆次数限制修改

    打开文件:\e\config\config.php, 找到 'loginnum'=>5, 把5改为自己想要的数字即可

  6. Servlet学习(三)——实例:用户登录并记录登陆次数

    1.前提:在Mysql数据库下建立数据库web13,在web13下创建一张表user,插入几条数据如下: 2.创建HTML文件,命名为login,作为登录界面(以post方式提交) <!DOCT ...

  7. Redis & Python/Django 简单用户登陆

    一.Redis key相关操作: 1.del key [key..] 删除一个或多个key,如果不存在则忽略 2.keys pattern keys模式匹配,符合glob风格通配符,glob风格的通配 ...

  8. Redis+Django(Session,Cookie)的用户系统

    一.Django authentication django authentication提供了一个便利的user api接口,无论在py中 request.user,参见Request and re ...

  9. Redis+Django(Session,Cookie、Cache)的用户系统

    转自 http://www.cnblogs.com/BeginMan/p/3890761.html 一.Django authentication django authentication 提供了一 ...

随机推荐

  1. 10月清北学堂培训 Day 1

    今天是杨溢鑫老师的讲授~ T1 1 题意: n * m 的地图,有 4 种不同的地形(包括空地),6 种不同的指令,求从起点及初始的状态开始根据指令行动的结果. 2 思路:(虽然分了数据范围但是实际上 ...

  2. 【Python代码】随机抽取文件名列表NameList中的Name作为训练集

    #!/usr/bin/env python #coding=utf-8 #随机抽取一部分图片作为测试集 import random NameList=[]#存储所有图片名字 ''' NameListP ...

  3. mysql 和mssql2016中的json字段相关操作

    Mysql: mysql中有专门的Json字段,不是通用的varchar字段,可以保存key/value对,也可保存value集合. 可以增加.删除.修改Json中的某一字段,查询时可以为条件. 如果 ...

  4. Linux中man命令的使用方法再解释

    原文链接:http://www.linuxidc.com/Linux/2017-03/142407.htm Linux提供了丰富的帮助手册,当你需要查看某个命令的参数时不必到处上网查找,只要man一下 ...

  5. 2.linux的增删改查

    一.增删改查       1.建立文件和目录         mkdir /tmp/xueying       2.cd 进入的路径         绝对路径:以根目录为其实目录的路径         ...

  6. 2018-2019-2 20165114《网络对抗技术》 Exp 8 Web基础

    Exp 8 Web基础 目录 一.实验内容 二.基础问题回答 (1)什么是表单 (2)浏览器可以解析运行什么语言. (3)WebServer支持哪些动态语言 三.实践过程记录 3.1Web前端HTML ...

  7. legend3---开发总结1

    legend3---开发总结1 一.总结 一句话总结: 管它柳绿花红,我自潇洒人间 1.数据库字段命名:比如l_id? 见名知意,字段唯一,方便连表 2.所有方法在服务端都要加验证? 比如先查数据再更 ...

  8. mysql 触发器语法详解

    1.创建Mysql触发器: 语法: CREATE TRIGGER trigger_name trigger_time trigger_event ON tbl_name FOR EACH ROW BE ...

  9. oracle利用触发器实现将ddl操作存入数据表中

    先创建DDL数据库事件操作表: create table ddl_event( sys_time date primary key, event_name ), ), obj_type ), obj_ ...

  10. 将bat文件注册成为系统服务

    第一章 注册系统服务准备 1.1      注册系统服务前准备 1.1.1 涉及第三方软件 Bat_To_Exe_Converter.exe (将*.bat文件转化为可执行*.exe文件) insts ...