登录次数限制
文章目录
- 一、应用场景与设计目的
- 1. 应用场景
- 2. 设计目的
- 二、功能设计
- 1. 登录限制规则
- 2. 解锁机制
- 3. 适用维度
- 三、技术实现
- 1. 数据存储
- 2. 逻辑流程
- 3. 实现代码示例
- 4. 动态锁定时间
- 四、安全增强与扩展
- 1. 防止用户名枚举
- 2. 加入验证码
- 3. 监控与报警
- 4. 分布式支持
- 五、设计思考
- 六、总结
现在应用中,大部分都有登录模块——获取系统权限的第一道防线。面对登录框,黑客有很多攻击手段,暴力破解就是其中一种低成本攻击方法。所以登录次数限制功能成为了必要的防护措施。
一、应用场景与设计目的
1. 应用场景
- 防御暴力破解攻击:攻击者尝试通过自动化工具测试大量用户名和密码组合。
- 防止资源滥用:恶意用户可能通过频繁的登录尝试,增加服务器负担,甚至造成拒绝服务。
- 提高用户数据安全性:通过限制失败尝试,保护用户的敏感信息不被非法访问。
2. 设计目的
- 安全性:通过限制失败次数和时间窗口,降低账户被暴力破解的风险。
- 用户体验:提供适度的限制和友好的提示信息,避免对正常用户造成过多干扰。
- 灵活性:支持基于用户、IP或设备的多维度限制规则,适应不同场景需求。
- 性能与扩展性:方案应在高并发环境下高效运行,并支持分布式部署。
二、功能设计
1. 登录限制规则
- 失败次数限制:在固定时间窗口内(如5分钟)限制尝试登录的次数(如最多5次)。
- 锁定机制:超过限制后,账号或IP在一段时间内无法登录(如10分钟)。
- 逐步增加惩罚:对于多次超过限制的用户,可动态增加锁定时间。
2. 解锁机制
- 自动解锁:等待锁定时间结束后自动解除限制。
- 管理员手动解锁:在后台管理系统提供手动解锁的功能。
- 多级验证:对于恶意尝试较多的用户,强制加入额外验证(如验证码)。
3. 适用维度
- 用户级别:限制特定用户名的登录尝试。
- IP级别:限制特定IP地址的频繁尝试,防止分布式攻击。
- 设备级别:针对特定设备标识限制尝试。
三、技术实现
1. 数据存储
为了高效记录和管理登录尝试信息,推荐使用缓存系统(如 Redis)。它具有高性能、自动过期和分布式支持的特点。
数据结构设计:
- 键:
login_attempts:{username}或login_attempts:{ip} - 值:记录失败次数。
- 过期时间:失败记录的生存周期(如5分钟)。
2. 逻辑流程
以下是登录次数限制的基本流程:
-
检查当前用户或IP是否已被锁定:
- 如果锁定,提示用户锁定状态及剩余时间。
-
验证用户名和密码:
- 成功:清除失败记录。
- 失败:增加失败次数,更新过期时间,提示剩余尝试次数。
-
当失败次数超过限制时:
- 锁定账户或IP,记录锁定时间。
3. 实现代码示例
先引入redis依赖
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
以下为 Java 伪代码,展示登录限制的基本实现。后面注入这个bean,根据上面流程图在对应的地方调用方法就可以了。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;import java.util.concurrent.TimeUnit;@Service
public class LoginAttemptService {private final int MAX_ATTEMPTS = 5; // 最大失败次数private final long LOCK_TIME = 15; // 锁定时间,单位:分钟@Autowiredprivate RedisTemplate<String, Object> redisTemplate;private String getRedisKey(String username) {return "login_attempt:" + username;}public void loginFailed(String username) {String redisKey = getRedisKey(username);Integer attempts = (Integer) redisTemplate.opsForValue().get(redisKey);if (attempts == null) {redisTemplate.opsForValue().set(redisKey, 1, LOCK_TIME, TimeUnit.MINUTES);} else {redisTemplate.opsForValue().increment(redisKey);}}public void loginSucceeded(String username) {redisTemplate.delete(getRedisKey(username));}public boolean isLocked(String username) {String redisKey = getRedisKey(username);Integer attempts = (Integer) redisTemplate.opsForValue().get(redisKey);if (attempts != null && attempts >= MAX_ATTEMPTS) {return true;}return false;}public long getRemainingLockTime(String username) {String redisKey = getRedisKey(username);return redisTemplate.getExpire(redisKey, TimeUnit.SECONDS);}
}4. 动态锁定时间
这里你可以想办法保留先前登录失败的次数,每错一次就增加锁定的时间(类似iPhone)。
锁定时间可以随着失败次数增加,采用指数递增策略:
- 第一次锁定:5分钟。
- 第二次锁定:15分钟。
- 第三次锁定:30分钟。
伪代码如下:
private long calculateLockTime(int attempts) {return (long) Math.pow(2, attempts - MAX_ATTEMPTS) * LOCK_TIME;
}
四、安全增强与扩展
1. 防止用户名枚举
攻击者可能通过系统错误提示,判断用户名是否存在。为此:
- 登录失败统一返回:“用户名或密码错误”。
2. 加入验证码
在尝试次数接近上限时,强制用户通过验证码验证,增加破解难度。
3. 监控与报警
记录登录失败日志,通过分析大规模失败尝试,发现并阻止潜在的暴力破解行为。
4. 分布式支持
在分布式系统中,使用统一的缓存(如 Redis)存储失败记录,保证所有实例共享数据。
五、设计思考
- 如何平衡安全与用户体验?
- 过于严格的限制可能导致误锁定正常用户,建议提供解锁选项(如通过邮箱验证)。
- 如何应对复杂攻击场景?
- 对于分布式暴力破解,需结合IP限制和设备指纹等多维度数据分析。
- 是否需要提供自定义规则?
- 根据业务场景,允许管理员配置失败次数、锁定时间等规则,以适应不同的安全需求。
六、总结
- 如何平衡安全与用户体验?
- 过于严格的限制可能导致误锁定正常用户,建议提供解锁选项(如通过邮箱验证)。
- 如何应对复杂攻击场景?
- 对于分布式暴力破解,需结合IP限制和设备指纹等多维度数据分析。
- 是否需要提供自定义规则?
- 根据业务场景,允许管理员配置失败次数、锁定时间等规则,以适应不同的安全需求。
登录次数限制是一项核心的安全功能,它不仅能有效防御暴力破解攻击,还能增强系统的整体安全性。在实现过程中,应兼顾安全性、用户体验与系统性能。同时,通过动态调整规则、加入验证码和增强监控,可以进一步提升系统的防护能力。
博客主页: 总是学不会.
相关文章:
登录次数限制
文章目录 一、应用场景与设计目的1. 应用场景2. 设计目的 二、功能设计1. 登录限制规则2. 解锁机制3. 适用维度 三、技术实现1. 数据存储2. 逻辑流程3. 实现代码示例4. 动态锁定时间 四、安全增强与扩展1. 防止用户名枚举2. 加入验证码3. 监控与报警4. 分布式支持 五、设计思考…...
java jar包内的jar包如何打补丁
问题描述: 主包:hisca.jar,解压后 BOOT-INFO/lib下有其他jar包 因为一个小bug,需要修改这个hisca包下BOOT-INF/lib下的子jar包service-hisca-impl-1.0.0.jar中的一个service类及xml文件 操作步骤: 1、主包jar -xvf …...
面试(进阶) —虚拟列表在什么场景使用,如何实现?
面试(进阶) —虚拟列表在什么场景使用,如何实现? 在前端开发中,当需要渲染大量数据时,传统的渲染方式往往会遇到性能瓶颈。一次性将大量数据渲染到DOM中,不仅会导致页面加载缓慢,还可能占用大量内存&#x…...
深入了解 NAT 模式:网络地址转换的奥秘
深入了解 NAT 模式:网络地址转换的奥秘 在计算机网络的世界里,NAT 模式(Network Address Translation,网络地址转换)扮演着至关重要的角色。它就像是网络中的翻译官,在不同网络地址之间进行转换࿰…...
Android Studio 新版本Gradle发布本地Maven仓库示例
发布代码到JitPack示例:https://blog.csdn.net/loutengyuan/article/details/145938967 以下是基于 Android Studio 24.2.2(Gradle 8.10.2 AGP 8.8.0 JDK17) 的本地 Maven 仓库发布示例,包含aar和jar的不同配置: 1.…...
无服务边缘融合架构:重新定义云原生应用边界
引言:零部署计算的革命突破 Airbnb迁移至LambdaEdge架构后,全球客房详情页渲染延迟降至35ms,冷启动时间缩至50ms以内。Stripe采用无服务边缘计算处理支付事务,成功将动态API响应P99延迟从210ms压缩至19ms。AWS官方基准显示&#…...
数据库测试
TPCH 22条SQL语句分析 - xibuhaohao - 博客园 TPCH模型规范、测试说明及22条语句 - zhjh256 - 博客园 TPC-DS 性能比较:TiDB 与 Impala-PingCAP | 平凯星辰 揭秘Oracle TPC-H性能优化:如何提升数据库查询速度,揭秘实战技巧与挑战 引言 T…...
Nodejs-逐行读取文件【简易版】
“勤奋就是成功之母。” —— 茅以升 目录 逐行读取文件四种方法:Node.js 逐行读取文件的核心方法:同步读取(适用于小文件):异步流式处理(推荐用于大文件):[使用 readline 模块](h…...
上海市计算机学会竞赛平台2024年5月月赛丙组城市距离之和
城市距离之和 内存限制: 256 Mb时间限制: 1000 ms 题目描述 设 (x,y)(x,y) 与 (x′,y′)(x′,y′) 是平面上的两个点的坐标,它们之间的城市距离定义为 ∣x−x′∣∣y−y′∣∣x−x′∣∣y−y′∣ 给定 nn 个点,请计算所有点对之间的城市距离之和。 …...
穷举vs暴搜vs深搜vs回溯vs剪枝(典型算法思想)—— OJ例题算法解析思路
回溯算法的模版 void backtrack(vector<int>& path, vector<int>& choice, ...) {// 满⾜结束条件if (/* 满⾜结束条件 */) {// 将路径添加到结果集中res.push_back(path);return;}// 遍历所有选择for (int i 0; i < choices.size(); i) {// 做出选择…...
在ubuntu 24.04.2 通过 Kubeadm 安装 Kubernetes v1.31.6
文章目录 1. 简介2. 准备3. 配置 containerd4. kubeadm 安装集群5. 安装网络 calico 插件 1. 简介 本指南介绍了如何在 Ubuntu 24.04.2 LTS 上安装和配置 Kubernetes 1.31.6 集群,包括容器运行时 containerd 的安装与配置,以及使用 kubeadm 进行集群初始…...
基于Python socket库构建的基于 P2P 的文件共享系统示例
基于 P2P 的文件共享系统 实现方式: 使用 Python 的socket库构建 P2P 网络,节点之间通过 TCP 或 UDP 协议进行通信。每个节点维护一个文件列表,并向其他节点广播自己拥有的文件信息。当一个节点需要某个文件时,它会向网络中的其…...
JavaScript 函数重载:灵活应对多场景的编程技巧
在 JavaScript 中,函数重载(Function Overloading)是一个常见的需求。尽管 JavaScript 本身并不支持传统意义上的函数重载(即在同一个作用域内定义多个同名函数,根据参数的不同调用不同的函数),…...
通过 PromptTemplate 生成干净的 SQL 查询语句并执行SQL查询语句
问题描述 在使用 LangChain 和 Llama 模型生成 SQL 查询时,遇到了 sqlite3.OperationalError 错误。错误信息如下: OperationalError: (sqlite3.OperationalError) near "sql SELECT Name FROM MediaType LIMIT 5; ": syntax error [SQL: …...
用大白话解释缓存Redis +MongoDB是什么有什么用怎么用
Redis和MongoDB是什么? Redis:像你家的“小冰箱”,专门存高频使用的食物(数据)。它是基于内存的键值数据库,读写速度极快(每秒超10万次操作)。比如你每次打开手机App,用…...
计算机毕业设计SpringBoot+Vue.js汽车销售网站(源码+文档+PPT+讲解)
温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 作者简介:Java领…...
【0010】HTML水平线标签详解
如果你觉得我的文章写的不错,请关注我哟,请点赞、评论,收藏此文章,谢谢! 本文内容体系结构如下: 一、水平线标签概述 在HTML中,<hr>标签用于在网页上插入一条水平线,其主要…...
FastExcel与Reactor响应式编程深度集成技术解析
一、技术融合背景与核心价值 在2025年企业级应用开发中,大规模异步Excel处理与响应式系统架构的结合已成为技术刚需。FastExcel与Reactor的整合方案,通过以下技术协同实现突破性性能: 内存效率革命:FastExcel的流式字节操作与Re…...
Netty是如何实现零拷贝的?
大家好,我是锋哥。今天分享关于【Netty是如何实现零拷贝的?】面试题。希望对大家有帮助; Netty是如何实现零拷贝的? 1000道 互联网大厂Java工程师 精选面试题-Java资源分享网 Netty是一个高性能的Java网络应用框架,它…...
【大模型➕知识图谱】大模型结合医疗知识图谱:解锁智能辅助诊疗系统新范式
【大模型➕知识图谱】大模型结合医疗知识图谱:解锁智能辅助诊疗系统新范式 大模型结合医疗知识图谱:解锁智能辅助诊疗系统新范式引言一、系统架构1.1 系统架构图1.2 架构模块说明1.2.1 用户输入1.2.2 大模型(语义理解与意图识别)1.2.3 Agent(问题解析与任务分配)1.2.4 问…...
Lombok 的 @Data 注解失效,未生成 getter/setter 方法引发的HTTP 406 错误
HTTP 状态码 406 (Not Acceptable) 和 500 (Internal Server Error) 是两类完全不同的错误,它们的含义、原因和解决方法都有显著区别。以下是详细对比: 1. HTTP 406 (Not Acceptable) 含义: 客户端请求的内容类型与服务器支持的内容类型不匹…...
Axios请求超时重发机制
Axios 超时重新请求实现方案 在 Axios 中实现超时重新请求可以通过以下几种方式: 1. 使用拦截器实现自动重试 import axios from axios;// 创建axios实例 const instance axios.create();// 设置超时时间 instance.defaults.timeout 5000;// 最大重试次数 cons…...
3-11单元格区域边界定位(End属性)学习笔记
返回一个Range 对象,只读。该对象代表包含源区域的区域上端下端左端右端的最后一个单元格。等同于按键 End 向上键(End(xlUp))、End向下键(End(xlDown))、End向左键(End(xlToLeft)End向右键(End(xlToRight)) 注意:它移动的位置必须是相连的有内容的单元格…...
稳定币的深度剖析与展望
一、引言 在当今数字化浪潮席卷全球的时代,加密货币作为一种新兴的金融现象,正以前所未有的速度改变着我们对传统货币和金融体系的认知。然而,加密货币市场的高度波动性却成为了其广泛应用和普及的一大障碍。在这样的背景下,稳定…...
招商蛇口 | 执笔CID,启幕低密生活新境
作为中国城市生长的力量,招商蛇口以“美好生活承载者”为使命,深耕全球111座城市,以央企担当匠造时代理想人居。从深圳湾的开拓基因到西安高新CID的战略落子,招商蛇口始终与城市发展同频共振,以建筑诠释对土地与生活的…...
GraphQL 实战篇:Apollo Client 配置与缓存
GraphQL 实战篇:Apollo Client 配置与缓存 上一篇:GraphQL 入门篇:基础查询语法 依旧和上一篇的笔记一样,主实操,没啥过多的细节讲解,代码具体在: https://github.com/GoldenaArcher/graphql…...
土建施工员考试:建筑施工技术重点知识有哪些?
《管理实务》是土建施工员考试中侧重实操应用与管理能力的科目,核心考查施工组织、质量安全、进度成本等现场管理要点。以下是结合考试大纲与高频考点整理的重点内容,附学习方向和应试技巧: 一、施工组织与进度管理 核心目标: 规…...
之(六) ——通用对象池总结(核心))
怎么开发一个网络协议模块(C语言框架)之(六) ——通用对象池总结(核心)
+---------------------------+ | operEntryTbl[] | ← 操作对象池 (对象数组) +---------------------------+ | 0 | 1 | 2 | ... | N-1 | +---------------------------+↓ 初始化时全部加入 +------------------------+ +-------------------------+ | …...
node.js的初步学习
那什么是node.js呢? 和JavaScript又是什么关系呢? node.js 提供了 JavaScript的运行环境。当JavaScript作为后端开发语言来说, 需要在node.js的环境上进行当JavaScript作为前端开发语言来说,需要在浏览器的环境上进行 Node.js 可…...
深入浅出WebGL:在浏览器中解锁3D世界的魔法钥匙
WebGL:在浏览器中解锁3D世界的魔法钥匙 引言:网页的边界正在消失 在数字化浪潮的推动下,网页早已不再是静态信息的展示窗口。如今,我们可以在浏览器中体验逼真的3D游戏、交互式数据可视化、虚拟实验室,甚至沉浸式的V…...