随书笔记之一分钟内连续登录超过3次就锁定账号

最新推荐文章于 2024-06-15 11:36:00 发布
原创 最新推荐文章于 2024-06-15 11:36:00 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#随书笔记

本文探讨了面试中遇到的一分钟内连续登录超过3次即锁定账号的问题。最初方案涉及数据库操作,但考虑到效率和安全性,改用Redis作为解决方案。通过设置Redis键值对,记录用户登录失败次数,超过限制则锁定账号。成功登录时删除键,避免无效数据积累。文中还提及了受接口限流启发的Lua脚本应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

奥奥,这属于看书随笔,之前去面试有面试官问我这个问题:

一分钟内登录超过3次就锁定账号。

当时考虑的动数据库,有一个登录失败历史表,字段有:用户1,登录时间12:00,失败次数1

每次登录失败的时候,查询在本次登录时间1分钟前的登录失败记录,如果没有就记录当前登录时间,用户id,失败次数初始化为1到数据库

如果有失败记录,就查询出来,对失败次数做累加,当发现累加后失败次数为4了,就锁定账号。

嗯嗯,其实这样在大用户下会有大量不可研究性的登录失败历史数据,没啥用,而且在遭受攻击的时候,也会频繁的查询,更新数据库,容易造成数据库宕机,系统不可用。

因此,目前考虑的是:

增加一个reidis键值对,key是用户的id,并对键的过期时间设置为60秒,当用户登录失败的时候就对键值对加1,当键值对的值超过3后就锁定账号

因为是连续登录,所以在用户登录成功时,不管过期不过期,都需要删除key,避免维护另一张无用表,并且避免了频繁更新这个无用表。

这上面的思路是看到接口限流所想到的。

lua脚本部分如下:

local key = KEYS[1]
local limit = tonumber(ARGV[1])
local current = tonumber(redis.call('get',key) or "0")
if(current + 1 > limit)
then
return 0
else
redis.call("incr",key)
--redis.call("expire",key,"5")
return 1
end
执行方式如下:注意空格和逗号
/redis-cli -p 7009 --eval /Users/yp-tc-m-7129/Desktop/aa.lua key , 5


平台登录时,1分钟连续错误5建议锁定帐号5分钟
weixin_30394981的博客
02-26 2834
登录controller package com.zx.znydweb.controller; import java.util.HashMap; import java.util.Map; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax...
mysql 用户 多登录失败_SpringSecurity实现多登录失败后账户锁定功能 | 学步园...
weixin_42502537的博客
02-18 626
在上一写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再进行登录操作。一、基础知识回顾要实现多登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信...
ssm+shiro+redis 登录控制及重试超过5账号锁定分钟
02-26
下载的别人上传的,用着确实不错,本人以及学会了,并且里面添加了readme,物有所值
CentOS7登录失败3锁定账号一段时间自动解锁(包含图形界面GNOME登录
captain525的博客
03-19 7494
最近帮忙给朋友搞Linux加固,其中一项需要设置登录失败3锁定账号一定时间后再解锁。网上搜了一下,基本都是采用pam_tally2认证模块实现的,通过修改配置文件可以满足要求,但是,没有对图形用户界面GNOME登录失败锁定和解锁的。因此,记录下GNOME界面登录的修改方案。 1.实验环境 虚拟机下安装的CentOS7 2.锁定通过tty终端登录的用户 ...
华为内部的Web安全原则笔记
u011975363的专栏
08-10 1204
Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多连续尝试登录失败后锁定帐号或IP。 说明:如采用多连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的数”可配置,支持在锁定时间超时后自动解锁。 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。 说明:防止用户通过直接输入URL,进行URL越权,请求并执行一些页面或servlet;建议通过过滤器实现。 登录过程中,
掌控习惯读书笔记
chenzeyu110的博客
01-24 1269
文章目录**第一章** 第一章 成功是日常习惯累积的产物,而不是一生仅有一的重大转变的结果。 也就是说,你此时此刻是成就辉煌还是一事无成并不重要,重要的是你当前的习惯是否让你走上了通向成功的道路。你应该更关心你在当前前行的轨迹,而不是你已经取得了什么样的结果。 类似地,你在培养习惯的过程中,有相当长时间是感受不到它的影响的,直到某一天,你突破了临界点,跨入新境界。在任何探索的早期和中期,通常都会有一个不如意的低谷区。你期望日新月异,收到立竿见影之效,但是让你感到沮丧的是,在最初的几天、几周甚至几个月里,几
史上最全最详细的Linux【红帽RHCSA阶段笔记
最新发布
Especially_Allen的博客
06-15 1932
这里写目录标题第一节:Linux系统概念及命令学习1. Linux系统基本概念2. 命令终端字段含义介绍3. 命令行一般命令格式4. Linux系统辨别目录与文件的方法5. 通过文件详细属性辨别6. ls 查看目录/文件命令7. Linux 系统下的归属关系8. 命令行编辑技巧9. Linux 基本权限的类别10. 课后练习第二节:常用文件管理命令1. mkdir 创建目录命令2. cd 切换目录命令3. 绝对路径与相对路径4. pwd 打印当前所在目录5. rmdir 删除空目录命令6. touch 创建
狂神说Linux笔记
PJ_STAR的博客
04-10 1817
B站视频 狂神说Linux Java开发之路: JavaSE, MySQL, 前端(html,css,js), javaweb, SSM框架, SpringBoot vue , SpringCloud ,(mybatis-plus git) Linux Linux 操作系统: Window、Mac 消息队列(Kafka, RabbitMQ, RockeetMQ) 缓存(Redis) 搜索引擎(ElasticSearch) 集群分布式(需要购买多台服务器)
第一章 Linux基础与进阶学习笔记
hankin的博客
07-31 572
一、基础介绍 Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。 1、发行的linux版本 Linux的发行版说简单点就是将Linux内核与应用软件做一个打包,市面上较知名的发行版有:Ubuntu、RedHat、CentOS、Debian、Fedora、SuSE、OpenSUSE、Arch Linux、...
配置linux网络地址、连接ssh命令
11-30
使用vmware配置linux网络地址命令、开启ssh连接、关闭防火墙命令
php 实现密码错误三锁定账号10分钟
Max的博客
08-10 876
/** * 登录 * 1、接收数据 * 2、正则判断接收到的数据是否合理 * 3、根据用户名获取用户数据 * 获取到数据 -> 继续执行 * 没有获取到数据 -> 提示:用户名密码错误 * 4、判断锁定时间 * 当前时间和锁定时间差 大于 10分钟 或者 没有锁定时间 -> 继续执行 * 当前时间和锁定时间差 小于 10分钟 -> 提示:账号锁定中、请10分钟后再试 * 5...
登录超过3上锁,5小时候才能登录
honer123的博客
03-29 475
<%@page import="javax.jws.soap.SOAPBinding.Style"%><%@ page language="java" contentType="text/html; charset=UTF-8"    pageEncoding="UTF-8"%><% String path = request.getContextPath()
连续登陆失败锁定账户
weixin_34218890的博客
03-23 2868
连续登录失败锁定账户 需求说明:1、输入用户名2、认证成功,提示登录成功,欢迎信息3登录失败连续,提示失败,并退出程序备注:1、users_info是存放用户名及其密码的文件,格式: 用户名 密码, 之间用空格隔开2、locked_file是存放被锁定的用户id的文件,默认为空,格式为: 用户名3、程序会对users_info里的合法用户id进行判断,若连续输入错误,提示失败并退出...
登陆三失败锁定不给登陆
dingzhukun的博客
08-20 806
登陆三失败锁定不给登陆。 这里主要的实现方式是数据库表+代码。当然这种方式适合练练手,还有一种更简便的就是用缓存实现,代码节省很多。 基本逻辑是登陆失败累计数。三抛出限制定语。 限定根据当前时间和数据库锁定时间进行判断是否解锁。 最后数据状态修改为0. 代码 public Yhxx getLogin(String userName, String pwd) throws Ser...
登录失败停留15秒才可重试
陈晖ToDo
03-02 1893
之前在学习登录页面时,主要是为了复习我们学习ADO.Net时的一个防注入漏洞攻击,当然也有连接数据库的一系列操作,使用参数,发挥参数的作用。当时听到视频教程里老师讲到当我们尝试登录失败多后,系统就会锁定登录界面,等待一定的时间之后用户才能成功登录,只是提到了一个思路,先记录下尝试上限时的时间,再根据过了多少时间才能够再登录。      今天我尝试试登录后,停留一定时间才能继续登录
django Throttling 节流 限制接口访问
Auto
01-29 1677
文章目录Throttling#0 GitHub#1 环境#2 需求分析#3 什么是节流#4 官方提供的节流库#4.1 开始新建一个Django项目settings.pyviews.py#4.2 改进#5 自定义节流#5.1 需求分析#5.2 新建文件 throttling.py#5.3 settings.py Throttling #0 GitHub #1 环境 Python3.6 Django=...
java shiro 访问频率_ssm+shiro+redis 登录控制及重试超过5账号锁定分钟
weixin_42421854的博客
02-24 564
【实例简介】shiro+redis 实现登录控制及密码重试超过5账号锁定分钟不能登录【实例截图】【核心代码】SSM-Shiro└── SSM-Shiro├── logs│ └── loginfo.log├── pom.xml├── src│ └── main│ ├── java│ │ └── cn│ │ └── com│ ...
Spark案例 统计出连续三天登录的用户(两种方法)
weixin_43648241的博客
08-10 1575
使用Spark的RDD统计连续登陆的三天及以上的用户 这个问题可以扩展到很多相似的问题:连续几个月充值会员、连续天数有商品卖出、连续打滴滴、连续逾期。 测试数据:用户ID、登入日期 guid01,2018-02-28 guid01,2018-03-01 guid01,2018-03-02 guid01,2018-03-04 guid01,2018-03-05 guid01,2018-03-06 guid01,2018-03-07 guid02,2018-03-01 guid02,2018-03-02 gui
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值