title: redis-login-limitation

利用 redis 实现登陆次数限制, 注解 + aop, 核心代码很简单.

基本思路

比如希望达到的要求是这样: 在 1min 内登陆异常次数达到5次, 锁定该用户 1h

那么登陆请求的参数中, 会有一个参数唯一标识一个 user, 比如 邮箱/手机号/userName

用这个参数作为key存入redis, 对应的value为登陆错误的次数, string 类型, 并设置过期时间为 1min. 当获取到的 value == "4" , 说明当前请求为第 5 次登陆异常, 锁定.

所谓的锁定, 就是将对应的value设置为某个标识符, 比如"lock", 并设置过期时间为 1h

核心代码

定义一个注解, 用来标识需要登陆次数校验的方法

package io.github.xiaoyureed.redispractice.anno;

import java.lang.annotation.*;

@Documented

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface RedisLimit {

    /**

     * 标识参数名, 必须是请求参数中的一个

     */

    String identifier();

    /**

     * 在多长时间内监控, 如希望在 60s 内尝试

     * 次数限制为5次, 那么 watch=60; unit: s

     */

    long watch();

    /**

     * 锁定时长, unit: s

     */

    long lock();

    /**

     * 错误的尝试次数

     */

    int times();

}

编写切面, 在目标方法前后进行校验, 处理...

package io.github.xiaoyureed.redispractice.aop;

@Component

@Aspect

// Ensure that current advice is outer compared with ControllerAOP

// so we can handling login limitation Exception in this aop advice.

//@Order(9)

@Slf4j

public class RedisLimitAOP {

    @Autowired

    private StringRedisTemplate stringRedisTemplate;

    @Around("@annotation(io.github.xiaoyureed.redispractice.anno.RedisLimit)")

    public Object handleLimit(ProceedingJoinPoint joinPoint) {

        MethodSignature  methodSignature = (MethodSignature) joinPoint.getSignature();

        final Method     method          = methodSignature.getMethod();

        final RedisLimit redisLimitAnno  = method.getAnnotation(RedisLimit.class);// 貌似可以直接在方法参数中注入 todo

        final String identifier = redisLimitAnno.identifier();

        final long   watch      = redisLimitAnno.watch();

        final int    times      = redisLimitAnno.times();

        final long   lock       = redisLimitAnno.lock();

        // final ServletRequestAttributes att             = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();

        // final HttpServletRequest       request         = att.getRequest();

        // final String                   identifierValue = request.getParameter(identifier);

        String identifierValue = null;

        try {

            final Object arg           = joinPoint.getArgs()[0];

            final Field  declaredField = arg.getClass().getDeclaredField(identifier);

            declaredField.setAccessible(true);

            identifierValue = (String) declaredField.get(arg);

        } catch (NoSuchFieldException e) {

            log.error(">>> invalid identifier [{}], cannot find this field in request params", identifier);

        } catch (IllegalAccessException e) {

            e.printStackTrace();

        }

        if (StringUtils.isBlank(identifierValue)) {

            log.error(">>> the value of RedisLimit.identifier cannot be blank, invalid identifier: {}", identifier);

        }

        // check User locked

        final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

        final String                          flag  = ssOps.get(identifierValue);

        if (flag != null && "lock".contentEquals(flag)) {

            final BaseResp result = new BaseResp();

            result.setErrMsg("user locked");

            result.setCode("1");

            return new ResponseEntity<>(result, HttpStatus.OK);

        }

        ResponseEntity result;

        try {

            result = (ResponseEntity) joinPoint.proceed();

        } catch (Throwable e) {

            result = handleLoginException(e, identifierValue, watch, times, lock);

        }

        return result;

    }

    private ResponseEntity handleLoginException(Throwable e, String identifierValue, long watch, int times, long lock) {

        final BaseResp result = new BaseResp();

        result.setCode("1");

        if (e instanceof LoginException) {

            log.info(">>> handle login exception...");

            final ValueOperations<String, String> ssOps = stringRedisTemplate.opsForValue();

            Boolean                               exist = stringRedisTemplate.hasKey(identifierValue);

            // key doesn't exist, so it is the first login failure

            if (exist == null || !exist) {

                ssOps.set(identifierValue, "1", watch, TimeUnit.SECONDS);

                result.setErrMsg(e.getMessage());

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            String count = ssOps.get(identifierValue);

            // has been reached the limitation

            if (Integer.parseInt(count) + 1 == times) {

                log.info(">>> [{}] has been reached the limitation and will be locked for {}s", identifierValue, lock);

                ssOps.set(identifierValue, "lock", lock, TimeUnit.SECONDS);

                result.setErrMsg("user locked");

                return new ResponseEntity<>(result, HttpStatus.OK);

            }

            ssOps.increment(identifierValue);

            result.setErrMsg(e.getMessage() + "; you have try " + ssOps.get(identifierValue) + "times.");

        }

        log.error(">>> RedisLimitAOP cannot handle {}", e.getClass().getName());

        return new ResponseEntity<>(result, HttpStatus.OK);

    }

}

这样使用:

package io.github.xiaoyureed.redispractice.web;

@RestController

public class SessionResources {

    @Autowired

    private SessionService sessionService;

    /**

     * 1 min 之内尝试超过5次, 锁定 user 1h

     */

    @RedisLimit(identifier = "name", watch = 30, times = 5, lock = 10)

    @RequestMapping(value = "/session", method = RequestMethod.POST)

    public ResponseEntity<LoginResp> login(@Validated @RequestBody LoginReq req) {

        return new ResponseEntity<>(sessionService.login(req), HttpStatus.OK);

    }

}

references

https://github.com/xiaoyureed/redis-login-limitation

redis 实现登陆次数限制的更多相关文章

  1. 【BASIS系列】SAP 中查看account登陆次数及时间的情况

    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[BASIS系列]SAP 中查看account登 ...

  2. Redis解决“重试次数”场景的实现思路

    很多地方都要用到重试次数限制,不然就会被暴力破解.比如登录密码. 下面不是完整代码,只是伪代码,提供一个思路. 第一种(先声明,这样写有个bug) import java.text.MessageFo ...

  3. 【Redis使用系列】redis设置登陆密码

    找到安装redis的配置文件,找到redis.comf文件找到#requirepass foobared 新建一行 requirepass  xxxx 你的密码 ,然后重启.再登录的时候可以登录,但是 ...

  4. shiro 错误登陆次数限制

    第一步:在spring-shiro.xml 中配置缓存管理器和认证匹配器 <!-- 缓存管理器 使用Ehcache实现 --><bean id="cacheManager& ...

  5. 帝国empirecms后台登陆次数限制修改

    打开文件:\e\config\config.php, 找到 'loginnum'=>5, 把5改为自己想要的数字即可

  6. Servlet学习(三)——实例:用户登录并记录登陆次数

    1.前提:在Mysql数据库下建立数据库web13,在web13下创建一张表user,插入几条数据如下: 2.创建HTML文件,命名为login,作为登录界面(以post方式提交) <!DOCT ...

  7. Redis & Python/Django 简单用户登陆

    一.Redis key相关操作: 1.del key [key..] 删除一个或多个key,如果不存在则忽略 2.keys pattern keys模式匹配,符合glob风格通配符,glob风格的通配 ...

  8. Redis+Django(Session,Cookie)的用户系统

    一.Django authentication django authentication提供了一个便利的user api接口,无论在py中 request.user,参见Request and re ...

  9. Redis+Django(Session,Cookie、Cache)的用户系统

    转自 http://www.cnblogs.com/BeginMan/p/3890761.html 一.Django authentication django authentication 提供了一 ...

随机推荐

  1. 6、transformation和action1

    一.transformation和action入门 1.介绍 Spark支持两种RDD操作:transformation和action.transformation操作会针对已有的RDD创建一个新的R ...

  2. django项目部署上线 nginx + uwsgi

    一.安装python3 安装步骤:https://www.cnblogs.com/zhangqigao/p/11661875.html 二.修改django中的配置文件 修改settings.py ( ...

  3. ssh免密码登录与常见问题

    免密码登录 cd ~/.ssh ssh-keygen -t rsa #然后敲回车 mv id_rsa.pub master_rsa.pub cat master_rsa.pub >> au ...

  4. Ubuntu 14.04 改变文件或者文件夹的拥有者

    只有系统管理者(root)才有这样的权限#将文件 file1.txt 的拥有者设为 runoob,群体的使用者 runoobgroupchown runoob:runoobgroup file1.tx ...

  5. hadoop3.1.1:找不到或无法加载主类 org.apache.hadoop.mapreduce.v2.app.MRAppMaster

    yarn执行MapReduce任务时,找不到主类导致的 解决: 1.在命令行输入:hadoop classpath [hadoop@localhost ~]$ hadoop classpath /da ...

  6. 如何查看Linux cpu核数、版本等信息

    CPU总核数 = 物理CPU个数 * 每颗物理CPU的核数 总逻辑CPU数 = 物理CPU个数 * 每颗物理CPU的核数 * 超线程数 1.查看CPU信息(型号): [root@iZ2ze1rl2qy ...

  7. vue 传参props里面为什么要带type,还有default?

    这个是子组件啦 ,写type的意思是swiperDate传过来的数据类型是数组,default就是表示不传默认返回的[ ],空数组. 这种就是表示传的数据类型是number,不传默认是0.

  8. Hive和Hadoop

    我最近研究了hive的相关技术,有点心得,这里和大家分享下. 首先我们要知道hive到底是做什么的.下面这几段文字很好的描述了hive的特性: 1.hive是基于Hadoop的一个数据仓库工具,可以将 ...

  9. cannot load from mysql.proc. the table is probably corrupted 解决办法

    执行以下命令:mysql_upgrade -u root -p 密码 mysql5.5及5.5以上的版本开始,mysql数据库中proc表中的comment字段的列属性已经由char(64)改为tex ...

  10. h5播放rtsp流

    最近由于项目上需要一个摄像头在线预览的功能,于是便琢磨了一个小玩意出来分享分享.项目是在win上,合作的人懂js,基于这样的情况,我只选择nodejs作为开发.并未使用php相关. 一开始做这个,我并 ...