登录次数限制
文章目录
- 一、应用场景与设计目的
- 1. 应用场景
- 2. 设计目的
- 二、功能设计
- 1. 登录限制规则
- 2. 解锁机制
- 3. 适用维度
- 三、技术实现
- 1. 数据存储
- 2. 逻辑流程
- 3. 实现代码示例
- 4. 动态锁定时间
- 四、安全增强与扩展
- 1. 防止用户名枚举
- 2. 加入验证码
- 3. 监控与报警
- 4. 分布式支持
- 五、设计思考
- 六、总结
现在应用中,大部分都有登录模块——获取系统权限的第一道防线。面对登录框,黑客有很多攻击手段,暴力破解就是其中一种低成本攻击方法。所以登录次数限制功能成为了必要的防护措施。
一、应用场景与设计目的
1. 应用场景
- 防御暴力破解攻击:攻击者尝试通过自动化工具测试大量用户名和密码组合。
- 防止资源滥用:恶意用户可能通过频繁的登录尝试,增加服务器负担,甚至造成拒绝服务。
- 提高用户数据安全性:通过限制失败尝试,保护用户的敏感信息不被非法访问。
2. 设计目的
- 安全性:通过限制失败次数和时间窗口,降低账户被暴力破解的风险。
- 用户体验:提供适度的限制和友好的提示信息,避免对正常用户造成过多干扰。
- 灵活性:支持基于用户、IP或设备的多维度限制规则,适应不同场景需求。
- 性能与扩展性:方案应在高并发环境下高效运行,并支持分布式部署。
二、功能设计
1. 登录限制规则
- 失败次数限制:在固定时间窗口内(如5分钟)限制尝试登录的次数(如最多5次)。
- 锁定机制:超过限制后,账号或IP在一段时间内无法登录(如10分钟)。
- 逐步增加惩罚:对于多次超过限制的用户,可动态增加锁定时间。
2. 解锁机制
- 自动解锁:等待锁定时间结束后自动解除限制。
- 管理员手动解锁:在后台管理系统提供手动解锁的功能。
- 多级验证:对于恶意尝试较多的用户,强制加入额外验证(如验证码)。
3. 适用维度
- 用户级别:限制特定用户名的登录尝试。
- IP级别:限制特定IP地址的频繁尝试,防止分布式攻击。
- 设备级别:针对特定设备标识限制尝试。
三、技术实现
1. 数据存储
为了高效记录和管理登录尝试信息,推荐使用缓存系统(如 Redis)。它具有高性能、自动过期和分布式支持的特点。
数据结构设计:
- 键:
login_attempts:{username}或login_attempts:{ip} - 值:记录失败次数。
- 过期时间:失败记录的生存周期(如5分钟)。
2. 逻辑流程
以下是登录次数限制的基本流程:
-
检查当前用户或IP是否已被锁定:
- 如果锁定,提示用户锁定状态及剩余时间。
-
验证用户名和密码:
- 成功:清除失败记录。
- 失败:增加失败次数,更新过期时间,提示剩余尝试次数。
-
当失败次数超过限制时:
- 锁定账户或IP,记录锁定时间。
3. 实现代码示例
先引入redis依赖
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
以下为 Java 伪代码,展示登录限制的基本实现。后面注入这个bean,根据上面流程图在对应的地方调用方法就可以了。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;import java.util.concurrent.TimeUnit;@Service
public class LoginAttemptService {private final int MAX_ATTEMPTS = 5; // 最大失败次数private final long LOCK_TIME = 15; // 锁定时间,单位:分钟@Autowiredprivate RedisTemplate<String, Object> redisTemplate;private String getRedisKey(String username) {return "login_attempt:" + username;}public void loginFailed(String username) {String redisKey = getRedisKey(username);Integer attempts = (Integer) redisTemplate.opsForValue().get(redisKey);if (attempts == null) {redisTemplate.opsForValue().set(redisKey, 1, LOCK_TIME, TimeUnit.MINUTES);} else {redisTemplate.opsForValue().increment(redisKey);}}public void loginSucceeded(String username) {redisTemplate.delete(getRedisKey(username));}public boolean isLocked(String username) {String redisKey = getRedisKey(username);Integer attempts = (Integer) redisTemplate.opsForValue().get(redisKey);if (attempts != null && attempts >= MAX_ATTEMPTS) {return true;}return false;}public long getRemainingLockTime(String username) {String redisKey = getRedisKey(username);return redisTemplate.getExpire(redisKey, TimeUnit.SECONDS);}
}4. 动态锁定时间
这里你可以想办法保留先前登录失败的次数,每错一次就增加锁定的时间(类似iPhone)。
锁定时间可以随着失败次数增加,采用指数递增策略:
- 第一次锁定:5分钟。
- 第二次锁定:15分钟。
- 第三次锁定:30分钟。
伪代码如下:
private long calculateLockTime(int attempts) {return (long) Math.pow(2, attempts - MAX_ATTEMPTS) * LOCK_TIME;
}
四、安全增强与扩展
1. 防止用户名枚举
攻击者可能通过系统错误提示,判断用户名是否存在。为此:
- 登录失败统一返回:“用户名或密码错误”。
2. 加入验证码
在尝试次数接近上限时,强制用户通过验证码验证,增加破解难度。
3. 监控与报警
记录登录失败日志,通过分析大规模失败尝试,发现并阻止潜在的暴力破解行为。
4. 分布式支持
在分布式系统中,使用统一的缓存(如 Redis)存储失败记录,保证所有实例共享数据。
五、设计思考
- 如何平衡安全与用户体验?
- 过于严格的限制可能导致误锁定正常用户,建议提供解锁选项(如通过邮箱验证)。
- 如何应对复杂攻击场景?
- 对于分布式暴力破解,需结合IP限制和设备指纹等多维度数据分析。
- 是否需要提供自定义规则?
- 根据业务场景,允许管理员配置失败次数、锁定时间等规则,以适应不同的安全需求。
六、总结
- 如何平衡安全与用户体验?
- 过于严格的限制可能导致误锁定正常用户,建议提供解锁选项(如通过邮箱验证)。
- 如何应对复杂攻击场景?
- 对于分布式暴力破解,需结合IP限制和设备指纹等多维度数据分析。
- 是否需要提供自定义规则?
- 根据业务场景,允许管理员配置失败次数、锁定时间等规则,以适应不同的安全需求。
登录次数限制是一项核心的安全功能,它不仅能有效防御暴力破解攻击,还能增强系统的整体安全性。在实现过程中,应兼顾安全性、用户体验与系统性能。同时,通过动态调整规则、加入验证码和增强监控,可以进一步提升系统的防护能力。
博客主页: 总是学不会.
相关文章:
登录次数限制
文章目录 一、应用场景与设计目的1. 应用场景2. 设计目的 二、功能设计1. 登录限制规则2. 解锁机制3. 适用维度 三、技术实现1. 数据存储2. 逻辑流程3. 实现代码示例4. 动态锁定时间 四、安全增强与扩展1. 防止用户名枚举2. 加入验证码3. 监控与报警4. 分布式支持 五、设计思考…...
CMU15445(2023fall) Project #2 - Extendible Hash Index 匠心分析
胡未灭,鬓已秋,泪空流 此生谁料 心在天山 身老沧州 ——诉衷情 完整代码见: SnowLegend-star/CMU15445-2023fall: Having Conquered the Loftiest Peak, We Stand But a Step Away from Victory in This Stage. With unwavering determinati…...
排序模板——C++
0.排序模板题目 题目描述 将读入的 N 个数从小到大排序后输出。 输入格式 第一行为一个正整数 N。 第二行包含 N 个空格隔开的正整数 ai,为你需要进行排序的数。 输出格式 将给定的 N 个数从小到大输出,数之间空格隔开,行末换行且无空格。 …...
【Java面试】JVM汇总
目录 1.JVM为什么能跨平台? 2.JVM由哪些部分构成?每个部分起到什么作用? 3.什么是双亲委派?双亲委派的两大作用是什么? 举个例子🌰: 为什么要有这种“家族规矩”? 破坏双亲委派…...
【如何避免dify分类问题总是返回第一个分类错误】
如何用好Dify问题分类器?避开误分类陷阱的实战指南 在大模型应用开发中,问题分类器是构建智能工作流的核心组件。它通过判断用户意图将请求路由至不同处理分支,直接影响系统响应精准度。但在实际使用中,开发者常遇到分类结果总是…...
【SpringBoot】Spring 一站式解决方案:融合统一返回结果、异常处理与适配器模式
前言 ???本期讲解关于统一功能处理的详细介绍~~~ ??感兴趣的小伙伴看一看小编主页:-CSDN博客 ?? 你的点赞就是小编不断更新的最大动力 ??那么废话不多说直接开整吧~~ 目录 ???1.适配器模式? ??1.1适配器模式定义 ?编辑 ??1.2适配器模式角…...
STM32基础篇(三)------滴答定时器
滴答定时器简介 SysTick定时器(STK) 处理器有一个24位系统定时器SysTick,它从重新加载值倒计时到零,在下一个时钟沿重新加载(换行)LOAD寄存器中的值,然后对后续时钟倒计时。当处理器暂停调试时&…...
如何连接 AWS 上的服务器
连接到 AWS 上的服务器(通常是 EC2 实例)需要使用 SSH 并提供正确的私钥文件。以下是详细的步骤: 1. 下载并准备 .pem 文件 AWS 提供的私钥文件通常是 .pem 文件。确保你已下载该 .pem 文件,并将它存放在本地计算机上。 注意&a…...
Sublime Text4安装、汉化
-------------2025-02-22可用---------------------- 官方网址下载:https://www.sublimetext.com 打开https://hexed.it 点击打开文件找到软件安装目录下的 ctrlf 查找 8079 0500 0f94 c2右边启用替换替换为:c641 0501 b200 90点击替换按钮 替换完成后 另存为本地…...
CameraX学习1-关于预览、拍照、对焦
关于CameraX是否可以打开多种特殊摄像头,例如广角、长焦、景深等等 虽然CameraSelector只简单定义了前置后置,没具体指明摄像头,但是可以跟Camera2 API的CameraCharacteristics结合使用,获取对应的cameraid,再传入Came…...
【愚公系列】《Python网络爬虫从入门到精通》033-DataFrame的数据排序
标题详情作者简介愚公搬代码头衔华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,亚马逊技领云博主,51CTO博客专家等。近期荣誉2022年度…...
RBF神经网络+NSGAII多目标优化算法,工艺参数优化、工程设计优化(Matlab)
目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.RBF神经网络NSGAII多目标优化算法(Matlab完整源码和数据) 多目标优化是指在优化问题中同时考虑多个目标的优化过程。在多目标优化中,通常存在多个冲突的目标,即改善一…...
LVS+Keepalived高可用群集配置案例
以下是一个 LVSKeepalived 高可用群集配置案例: 1、环境准备 LVS 主调度器(lvs1):IP 地址为 192.168.8.101,心跳 IP 为 192.168.4.101LVS 备调度器(lvs2):IP 地址为 192.168.8.102…...
执行yum -y install npt 报错解决
Cannot find a valid baseurl for repo: base/7/x86_64 解决办法 一、检查网络连接 确保你的服务器可以访问互联网。你可以使用 ping 命令来测试: ping www.baidu.com 若能访问外网,则网络没问题,否则检查网络 二、修改CentOS-Base.rep…...
)
常见AI写作工具介绍(ChatGPT 4o、DeepClaude、Claude 3.5 Sonnet 、DeepSeek R1等)
AI写作工具介绍 1. ChatGPT-4o ChatGPT-4o是OpenAI于2024年5月发布的最新旗舰模型,相比之前的版本,它在多模态支持和实时推理能力上有了显著提升。它能够处理和理解音频、图像和文本数据,适用于复杂的图像分析、语音识别等应用场景[1]。 2…...
Android Studio 新版本Gradle通过JitPack发布Maven仓库示例
发布本地仓库示例:https://blog.csdn.net/loutengyuan/article/details/145938967 以下是基于 Android Studio 24.2.2(Gradle 8.10.2 AGP 8.8.0 JDK17) 的通过JitPack发布Maven仓库示例,包含aar和jar的不同配置: 1.…...
【官方配图】win10/win11 安装cuda 和 cudnn
文章目录 参考资料1.安装cuda toolkit1. 下载安装包2.安装验证 2. 安装cudnn下载cudnn安装包安装cudnn安装后的配置 参考资料 官方nvidia安装cuda官方nvidia安装cudnn 1.安装cuda toolkit 1. 下载安装包 下载地址 https://developer.nvidia.com/cuda-downloads?target_osW…...
使用 kubeadm 创建高可用 Kubernetes 及外部 etcd 集群
博客地址:使用 kubeadm 创建高可用 Kubernetes 及外部 etcd 集群 前言 Kubernetes 的官方中文文档内容全面,表达清晰,有大量示例和解析 无论任何情况下都推荐先花几个小时通读官方文档,来了解配置过程中的可选项,以…...
易错点abc
在同一个输入流上重复创建Scanner实例可能会导致一些问题,包括但不限于输入流的混乱。尤其是在处理标准输入(System.in)时,重复创建Scanner对象通常不是最佳实践,因为这可能导致某些输入数据丢失或者顺序出错。 为什么…...
android智能指针android::sp使用介绍
android::sp 是 Android 中的智能指针(Smart Pointer)的实现,用于管理对象的生命周期,避免手动管理内存泄漏等问题。它是 Android libutils 库中重要的一部分,常用于管理继承自 android::RefBase 的对象。 与标准库中…...
水滴tabbar canvas实现思路
废话不多说之间看效果图,只要解决了这个效果水滴tabbar就能做出来了 源码地址 一、核心实现步骤分解 布局结构搭建 使用 作为绘制容器 设置 width=600, height=200 基础尺寸 通过 JS 动态计算实际尺寸(适配高清屏) function initCanvas() {// 获取设备像素比(解决 Re…...
地弹与振铃
地弹(Ground Bounce)和振铃(Ringing)是数字电路中常见的信号完整性问题,两者都与高速开关和寄生参数有关,但表现形式和成因不同。以下是它们的对比及解决方法: 1. 地弹(Ground Bounc…...
神经网络 - 激活函数(Sigmoid 型函数)
激活函数在神经元中非常重要的。为了增强网络的表示能力和学习能力,激活函数需要具备以下几点性质: (1) 连续并可导(允许少数点上不可导)的非线性函数。可导的激活函数可以直接利用数值优化的方法来学习网络参数. (2) 激活函数及其导函数要尽可能的简单࿰…...
DeepSeek-R1自写CUDA内核跑分屠榜:开启GPU编程自动化新时代
引言 在AI领域,深度学习模型的性能优化一直是研究者们关注的核心。最近,斯坦福和普林斯顿的研究团队发现,DeepSeek-R1生成的自定义CUDA内核不仅超越了OpenAI的o1和Claude 3.5 Sonnet,还在KernelBench框架中取得了总排名第一的好成…...
)
爬虫下载B站视频简单程序(仅供学习)
请输入视频链接:https://www.bilibili.com/video/BV1owFSeREoh (示例地址) 程序显示结果如下: 下载进度: 100.00% 下载完成 视频已保存到: ./video.mp4 核心功能 1. 视频信息解析…...
2.5 运算符2
版权声明:本文为博主原创文章,转载请在显著位置标明本文出处以及作者网名,未经作者允许不得用于商业目的 2.5.3 赋值运算符 赋值运算符将值存储在左操作数指定的对象中。有两种赋值操作: 1、简单赋值,使用。其中第二…...
DeepSeek + 自由职业 发现新大陆,从 0 到 1 全流程跑通商业 IP
DeepSeek 自由职业 发现新大陆,从 0 到 1 全流程跑通商业 IP 商业定位1. 商业定位分析提示词2. 私域引流策略提示词3. 变现模型计算器提示词4. 对标账号分析提示词5. 商业IP人设打造提示词6. 内容选题策略提示词7. 用户人群链分析提示词8. 内容布局与转化路径设计提…...
)
仿12306购票系统(3)
前面完成了乘车人登录功能的实现,本篇主要是控制台方面的管理 对于整体的控制台的设计,为了能够快速的检验,不进行登录拦截,在控制台的这个模块的controller层增加admin,以及在登录界面的拦截器排除掉admin. 车站 即…...
2025年2月个人工作生活总结
本文为 2025年2月工作生活总结。 工作记录 AI浪潮 AI非常火,春节至今,到处充斥着大量和AI、DeepSeek有关的新闻。领导也一再强调要用AI,甚至纳入到新一年的考核里。再往上,大领导开会的新闻稿里也作出要求,不能停下脚…...
【Python】网络爬虫——词云wordcloud详细教程,爬取豆瓣最新评论并生成各式词云
目录 一、功能介绍 二、关键技术 1、安装WordCloud 2、利用WordCloud 1、WordCloud的基础用法 **相关参数介绍** **WordCloud 提供的方法如下** 2、WordCloud的应用举例 3、设置停用词 4、WordCloud使用词频 三、程序设计的步骤 1、抓取网页数据 2、数据清洗 3、…...