• Spring Security多次登录失败账户锁定详解


    原文链接: https://cloud.tencent.com/developer/article/1914275

    需求

    在实际的开发过程中,我们通常会有这样的一个需求:

    • 当用户多次登录失败的时候,账户被锁定
    • 账户被锁定之后,即使使用正确的用户名密码登录,也不可以(防止你的密码已经被盗)
    • 被锁定的账户应该由管理员解锁,或者等待一定的时间周期之后才能再次进行登录操作。

    知识回顾

    • Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现UserDetails和UserDetailsService接口的方式告知Spring Security。具体的登录验证逻辑Spring Security 会帮助我们实现。
    • UserDetails接口实现中有一个方法叫做isAccountNonLocked()用于判断账号是否被锁定,也就是说我们应该通过该方法对应的set方法setAccountNonLocked(false)告知Spring Security该登录账户被锁定。
    • 那么应该在哪里判断账号登录失败的次数并执行锁定机制呢?当然是自定义登录成功及失败结果处理的AuthenticationFailureHandler。

    MyUserDetails修改

    之前定义过一个用于接收用户认证鉴权信息的实体MyUserDetails。当时没有使用到accountNonLocked字段,所以它的get方法也是直接返回true,表示该账户没有被锁定。

    现在我们需要这个字段,Spring Security会根据该字段的值判断账户是否未被锁定,如果该字段的值为0(false),Spring Security会抛出LockedException,禁止用户登录。所以我们去sys_user表添加一个accountNonLocked字段,默认值是1(true),表示未被锁定。

    需要注意的是mysql并没有boolean类型,int或tinyint类型,1就是true,0就是false。

    同时修改MyUserDetails里面的isAccountNonLocked,让它返回值是从数据库加载的accountNonLocked字段数据。

    public class MyUserDetails implements UserDetails {
    
        boolean accountNonLocked;   //是否没被锁定
     ......//这里省略其他属性,省略其他get、set方法
    
        @Override
        public boolean isAccountNonLocked() {
            //return true; //原来是这样的
            return this.accountNonLocked;  //现在改成这个样子
        }
    }

    实现多次登录失败锁定的原理

    一般来说实现这个需求,我们需要针对每一个用户记录登录失败的次数nLock和锁定账户的到期时间releaseTime。具体你是把这2个信息存储在mysql、还是文件中、还是redis中等等,完全取决于你对你所处的应用架构适用性的判断。具体的实现逻辑无非就是:

    • 登陆失败之后,从存储中将nLock取出来加1。
    • 如果nLock大于登陆失败阈值(比如3次),则将nLock=0,然后设置releaseTime为当前时间加上锁定周期。通过setAccountNonLocked(false)告知Spring Security该登录账户被锁定。
    • 如果nLock小于等于1,则将nLock再次存起来。
    • 在一个合适的时机,将锁定状态重置为setAccountNonLocked(true)。

    这是一种非常典型的实现方式,笔者向大家介绍一款非常有用的开源软件叫做:ratelimitj。这个软件的功能主要是为API访问进行限流,也就是说可以通过制定规则限制API接口的访问频率。那恰好登录验证接口也是API的一种啊,我们正好也需要限制它在一定的时间内的访问次数。


    具体实现

    首先需要将ratelimitj通过maven坐标引入到我们的应用里面来。我们使用的是内存存储的版本,还有redis存储的版本,大家可以根据自己的应用情况选用。

    <dependency>
        <groupId>es.moki.ratelimitj</groupId>
        <artifactId>ratelimitj-inmemory</artifactId>
        <version>0.7.0-RC1</version>
    </dependency>

    之后通过继承SimpleUrlAuthenticationFailureHandler ,实现onAuthenticationFailure方法。该实现是针对登录失败的结果的处理,在我们之前的文章中已经讲过

    @Component
    public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
    
        @Value("${spring.security.logintype}")
        private String loginType;
        private  static ObjectMapper objectMapper = new ObjectMapper();
        //引入MyUserDetailsServiceMapper
        @Resource
        MyUserDetailsServiceMapper myUserDetailsServiceMapper;
    
        //规则定义:1小时之内5次机会,第6次失败就触发限流行为(禁止访问)
        Set<RequestLimitRule> rules =
                Collections.singleton(RequestLimitRule.of(Duration.ofMinutes(60),5));
        RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules);
    
    
        @Override
        public void onAuthenticationFailure(HttpServletRequest request,
                                            HttpServletResponse response,
                                            AuthenticationException exception)
                                            throws IOException, ServletException {
    
            //从request或request.getSession中获取登录用户名
            String userId = request.getParameter("uname");
    
            //默认提示信息
            String errorMsg;
            if(exception instanceof LockedException){ //账户被锁定了
                errorMsg = "您已经多次登陆失败,账户已被锁定,请稍后再试!";
            }else if(exception instanceof SessionAuthenticationException){
                errorMsg = exception.getMessage();
            }else{
                errorMsg = "请检查您的用户名和密码输入是否正确";
            }
    
            //每次登陆失败计数器加1,并判断该用户是否已经到了触发了锁定规则
            boolean reachLimit = limiter.overLimitWhenIncremented(userId);
            if(reachLimit){ //如果触发了锁定规则,修改数据库 accountNonLocked字段锁定用户
                myUserDetailsServiceMapper.updateLockedByUserId(userId);
                errorMsg = "您多次登陆失败,账户已被锁定,请稍后再试!";
            }
    
            if ("JSON".equalsIgnoreCase(loginType)) {
                response.setContentType("application/json;charset=UTF-8");
                response.getWriter().write(objectMapper.writeValueAsString(
                        AjaxResponse.userInputError(errorMsg)
                ));
            } else {
                response.setContentType("text/html;charset=UTF-8");
                super.onAuthenticationFailure(request, response, exception);
            }
    
        }
    }
    • 核心实现注意看代码中的注释,userId就是登陆用户名,你可以在request中取出来。
    • 代码中的MyUserDetails为UserDetails的实现类
    • 在MyUserDetailsServiceMapper新增updateLockedByUserId(user);是用来更新数据库accountNonLocked字段的(更新为锁定状态),代码如下:
    @Update({"UPDATE sys_user u \n" +
            " SET u.accountNonLocked = 0 \n" +
            " WHERE u.username = #{userId}" })
    int updateLockedByUserId(@Param("userId")  String userId);

    该字段被更新为0之后,用户下次登录会从sys_user加载UserDetails数据。所以MyUserDetailsServiceMapper查询SQL增加字段

    当Spring Security发现accountNonLocked=0的时候,就会抛出LockedException(即使输入正确的用户名密码也不行,因为这个账户已经被锁定了)。从而登陆失败再次进入AuthenticationFailureHandler ,我们将LockedException转换为提示信息:“您已经多次登陆失败,账户已被锁定,请稍后再试!”。


    重置数据库锁定状态的时机

    需要注意的是,我们这种实现方式,实际上是有两个锁定状态

    • 第一个锁定状态是由ratelimitj-inmemory控制的窗口,是存储在内存中的,锁定时间不到,这个窗口是打不开的。除非你重启应用,内存被刷新。
    • 第二个锁定状态是数据库sys_user表的accountNonLocked字段,你可以人为去修改。但是第一个锁定状态不打开,你人为修改accountNonLocked字段是没用的,登录还是会被再次更新为账户锁定

    所以账户解锁的2个条件缺一不可:一是到达时间窗口限制边界(或重启应用),二是accountNonLocked字段为1 。但是更重要的是如何选择重置锁定状态的时机。笔者能想到几种方案如下

    • 一般的小型的管理系统,在“用户管理”功能模块提供一个功能,重置账户可用及锁定状态。
    • 下一次登陆的时候,自定义过滤器,加在Spring Boot过滤器链最前端做锁定状态重置的判断(要在数据库表里面加锁定状态的时间点字段)。
    • 写一个Spring 的定时器轮询,当然这是最差的方案(要在数据库表里面加锁定状态的时间点字段)。
  • 相关阅读:
    backgroudWork使用案例
    UAP单据不能设定【分割】符行使权限管理
    此博客所有内容仅供个人学习使用
    十大排序算法——实现程序
    Linux基础(更新ing......
    树莓派基于tensorflow的数字识别
    树莓派系统初始化配置
    树莓派初始配置步骤(无图版)
    PC、虚拟机Ubuntu和开发板实现三者互ping,可挂载nfs传输文件
    Linux目录结构
  • 原文地址:https://www.cnblogs.com/fswhq/p/16454926.html
Copyright © 2020-2023  润新知