0to1使用Redis实现“登录验证”次数限制

本文主要是介绍0to1使用Redis实现“登录验证”次数限制，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

1 引言

系统为了避免密码遭到暴力破解，通常情况下需要在登录时，限制用户验证账号密码的次数，当达到一定的验证次数后，在一段时间内锁定该账号，不再验证。本章将用几行代码实现该功能，完整代码链接在文章最后。

2 原理介绍

可以看到在登录接口中，4行代码即可实现该功能，这里使用Redis可以很方便的记录“登录失败次数”，以及设置其失效时间（即锁定时间），主要步骤是：

账号登录时，当前账号“登录失败次数”默认+1。
设置“登录失败次数”失效的时间（即锁定时间）。
当“登录失败次数”大于某个阈值时，就直接返回错误提示，不再走验证逻辑。
账号登录成功，清除“登录失败次数”，重新计数。

注意：第2步和第3步，可以交换顺序。
第2步在前时，锁定中发起请求会导致重新计时。
第3步在前时，锁定中发起请求不会导致重新计时。

在这里插入图片描述

3 代码

isTrue是断言方法，不满足条件时，抛出异常，在全局异常处理中，统一返回错误提示。参见Spring全局异常处理HandlerExceptionResolver使用。

package com.zeroone.service.sys;import com.zeroone.common.RedisKey;
import com.zeroone.entity.sys.User;
import com.zeroone.service.BaseService;
import com.zeroone.utils.Param;
import org.springframework.stereotype.Service;import java.util.concurrent.TimeUnit;@Service("UserService")
public class LoginServiceImpl extends BaseService implements LoginService {@Overridepublic Object webLogin(Param info) {String account = info.getStringNotNull("account").trim();String password = info.getStringNotNull("password").trim();Long loginFailedCount = redisTemplate.opsForValue().increment(RedisKey.LOGIN_FAILED_COUNT + account, 1);//先将登录失败次数+1redisTemplate.expire(RedisKey.LOGIN_FAILED_COUNT + account, 10, TimeUnit.SECONDS);// 指定登录失败次数失效时间isTrue(loginFailedCount <= 5, "请10秒后重试！");//当登录失败次数大于阈值后，直接返回错误信息//TODO 模拟验证密码isTrue(password.equals("12345"), "账号或密码错误,还能重试" + (5 - loginFailedCount) + "次!");redisTemplate.delete(RedisKey.LOGIN_FAILED_COUNT + account);// 验证通过后，清除登录失败次数User user = new User();user.setId(1L);user.setName("张三");user.setAccount("12345678901@qq.com");user.setPhone("12345678901");String token = tokenService.createToken(user);return token;}@Overridepublic void logout() {tokenService.deleteToken();}
}

    /*** true断言** @param expression 参数* @param msg        描述*/public void isTrue(boolean expression, String msg) {if (!expression) {throw new MyRuntimeException(HttpCode.BAD_REQUEST_CODE, msg);}}