這篇文章將為大家詳細講解有關(guān)SpringSecurity如何實現(xiàn)多次登錄失敗后賬戶鎖定功能，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

創(chuàng)新互聯(lián)網(wǎng)站建設(shè)由有經(jīng)驗的網(wǎng)站設(shè)計師、開發(fā)人員和項目經(jīng)理組成的專業(yè)建站團隊，負責(zé)網(wǎng)站視覺設(shè)計、用戶體驗優(yōu)化、交互設(shè)計和前端開發(fā)等方面的工作，以確保網(wǎng)站外觀精美、成都網(wǎng)站制作、做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)易于使用并且具有良好的響應(yīng)性。

一、基礎(chǔ)知識回顧

要實現(xiàn)多次登錄失敗賬戶鎖定的功能，我們需要先回顧一下基礎(chǔ)知識：

Spring Security 不需要我們自己實現(xiàn)登錄驗證邏輯，而是將用戶、角色、權(quán)限信息以實現(xiàn)UserDetails和UserDetailsService接口的方式告知Spring Security。具體的登錄驗證邏輯Spring Security 會幫助我們實現(xiàn)。  UserDetails接口中有一個方法叫做isAccountNonLocked()用于判斷賬號是否被鎖定，也就是說我們應(yīng)該通過該方法對應(yīng)的set方法setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。  那么應(yīng)該在哪里判斷賬號登錄失敗的次數(shù)并執(zhí)行鎖定機制呢？當然是我們之前文章給大家介紹的《自定義登錄成功及失敗結(jié)果處理》的AuthenticationFailureHandler。

建議您先閱讀本文，如果您對本文的實現(xiàn)過程感到迷惑，建議您再翻看本號之前的相關(guān)內(nèi)容。

二、實現(xiàn)多次登錄失敗鎖定的原理

一般來說實現(xiàn)這個需求，我們需要針對每一個用戶記錄登錄失敗的次數(shù)nLock和鎖定賬戶的到期時間releaseTime。具體你是把這2個信息存儲在MySQL、還是文件中、還是redis中等等，完全取決于你對你所處的應(yīng)用架構(gòu)適用性的判斷。具體的實現(xiàn)邏輯無非就是：

登陸失敗之后，從存儲中將nLock取出來加1。  如果nLock大于登陸失敗閾值(比如3次)，則將nLock=0，然后設(shè)置releaseTime為當前時間加上鎖定周期。通過setAccountNonLocked(false)告知Spring Security該登錄賬戶被鎖定。  如果nLock小于等于1，則將nLock再次存起來。  在一個合適的時機，將鎖定狀態(tài)重置為setAccountNonLocked(true)。

這是一種非常典型的實現(xiàn)方式，筆者向大家介紹一款非常有用的開源軟件叫做：ratelimitj。這個軟件的功能主要是為API訪問進行限流，也就是說可以通過制定規(guī)則限制API接口的訪問頻率。那恰好登錄驗證接口也是API的一種啊，我們正好也需要限制它在一定的時間內(nèi)的訪問次數(shù)。

三、具體實現(xiàn)

首先需要將ratelimitj通過maven坐標引入到我們的應(yīng)用里面來。我們使用的是內(nèi)存存儲的版本，還有redis存儲的版本，大家可以根據(jù)自己的應(yīng)用情況選用。

<dependency>  <groupId>es.moki.ratelimitj</groupId>  <artifactId>ratelimitj-inmemory</artifactId>  <version>0.4.1</version> </dependency>

之后通過繼承SimpleUrlAuthenticationFailureHandler ，實現(xiàn)onAuthenticationFailure方法。該實現(xiàn)是針對登錄失敗的結(jié)果的處理，在我們之前的文章中已經(jīng)講過。

@Componentpublic class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //規(guī)則定義：1小時之內(nèi)5次機會，就觸發(fā)限流行為 Set<RequestLimitRule> rules =   Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5));  RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request,     HttpServletResponse response,      AuthenticationException exception)      throws IOException, ServletException {  String userId = //從request或request.getSession中獲取登錄用戶名  //計數(shù)器加1，并判斷該用戶是否已經(jīng)到了觸發(fā)了鎖定規(guī)則  boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果觸發(fā)了鎖定規(guī)則，通過UserDetails告知Spring Security鎖定賬戶  user.setAccountNonLocked(false);  userDetailsManager.updateUser(user);  SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此處省略通過response做json或html響應(yīng) }}

核心實現(xiàn)注意看代碼中的注釋

代碼中的SysUser為UserDetails的實現(xiàn)類，如果不知道如何實現(xiàn)請參考本號之前的文章

userDetailsManager被用于管理UserDetails信息，通過改變UserDetails改變Spring Security驗證行為。

四、重置鎖定狀態(tài)的時機

user.setAccountNonLocked(true);

重置鎖定狀態(tài)很簡單，就是上面的代碼。但是更重要的是如何選擇重置鎖定狀態(tài)的時機。筆者能想到幾種方案如下

下一次登陸的時候，自定義過濾器，加在Spring Boot過濾器鏈最前端做鎖定狀態(tài)重置的判斷。  當?shù)卿涃~戶被鎖定之后，之后用戶的每一次登錄都會拋出LockedException。我們完全可以通過Spring Boot的全局異常捕獲機制，在其中捕獲LockedException，并做鎖定狀態(tài)的判斷及重置行為。  寫一個Spring 的定時器輪詢，當然這是最差的方案。

關(guān)于“SpringSecurity如何實現(xiàn)多次登錄失敗后賬戶鎖定功能”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。

網(wǎng)頁標題：SpringSecurity如何實現(xiàn)多次登錄失敗后賬戶鎖定功能
當前網(wǎng)址：http://jinyejixie.com/article0/jjpjio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、做網(wǎng)站、關(guān)鍵詞優(yōu)化、云服務(wù)器、品牌網(wǎng)站設(shè)計、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)