基于基于Redis实现每日登录失败次数限制实现每日登录失败次数限制
1. 思路思路
下面是我以前写的代码,没考虑高并发场景。如果是高并发场景下,要考虑到redis的set方法覆盖值问题,可以使用incr来替
代get,set保证数据安全
通过redis记录登录失败的次数,以用户的username为key
每次收到登录的请求时,都去redis查询登录次数是否已经大于等于我们设置的限制次数, 是的话直接返回
2. 代码代码
前台登录和后台查询数据库的代码省略
2.1 controller
我这里使用的Jboot, 获取redisTemplate的方式是Jboot.me().getRedis(), spring的话用jedisTemplate就行.
// 如果用户输入账号密码有效登录超过限制次数,24小时禁止登录
// 设置一天限制失败次数,默认为10次
final int limit = 3;
JbootRedis jr = Jboot.me().getRedis();
//Constants.LOGIN_COUNT = "LOGIN_COUNT"
//account是页面传过来的username
String key = Constants.LOGIN_COUNT + "_" + account;
Integer count = jr.get(key);
if(count == null){
count = 0;
}else {
if (count >= limit) {
//直接返回
ajaxJson.setMsg("您今天登录失败的次数已经超过限制,请明天再试。");
ajaxJson.setSuccess(false);
logger.error("账号为【"+account+"】的用户单日登录次数超过上限");
render(callback, gson.toJson(ajaxJson));
return;
}
}
//... 去数据库根据username查询user对象
if (user != null) {
// 往redis中增加登录失败的次数
Integer newCount = IncrFailLoginCount(key,count);
logger.error("账号为【"+account+"】的用户登录失败,"+ajaxJson.getMsg());
ajaxJson.setMsg(ajaxJson.getMsg() + ",剩下登录次数为:"+(limit-newCount));
render(callback, gson.toJson(ajaxJson));
return;
}else{
// 登录成功,清除redis失败记录
jr.del(key);
}
2.2 IncrFailLoginCount方法方法
/**
* 一天中登录失败的次数统计
* @param key redis中存储的键
* @param count 已经登录失败的次数
* @return count 登录失败次数
*/
private Integer IncrFailLoginCount(String key,Integer count) {
JbootRedis jr = Jboot.me().getRedis();
count++;
//设置过期时间为今晚23点59分59秒
long timeInMillis = DateUtils.getMillsecBeforeMoment(23, 59, 59, 999);
if (timeInMillis < 100){
// 避免在最后一秒的时候登录导致过期时间过小甚至为负数
timeInMillis = 1000*60;
}
// 设置过期时间
jr.set(key,count);
//这里注意顺序, 先set再pexpire
jr.pexpire(key,timeInMillis);
return count;
}