SpringBoot+Redis实现账号锁定功能

最新推荐文章于 2025-06-09 10:52:58 发布
最新推荐文章于 2025-06-09 10:52:58 发布
阅读量2.3k 收藏 12
点赞数 2
CC 4.0 BY-SA版权
分类专栏: SpringBoot 文章标签: shiro 数据库 redis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nov4th/article/details/103769416
本文详细介绍了如何在Spring Boot项目中使用Apache Shiro框架进行权限管理和用户认证,包括配置依赖、编写配置文件、创建自定义Realm、配置Shiro拦截器以及实现用户登录锁定功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、加入需要用到的包

<dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>3.1.0</version>
        </dependency>
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-pool2</artifactId>
        </dependency>
        <dependency>
            <groupId>nz.net.ultraq.thymeleaf</groupId>
            <artifactId>thymeleaf-layout-dialect</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

2、编写application.properties,配置连接数据库和Redis的信息

#数据库连接
spring.datasource.url=jdbc:mysql://localhost:3306/springboot?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=root
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver

#JPA设置
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5InnoDBDialect
spring.jpa.show-sql=true
spring.jpa.properties.hibernate.format_sql=true
spring.jpa.open-in-view=true

spring.thymeleaf.cache=false

#Redis连接信息
# Redis服务器地址
spring.redis.host=localhost
# Redis服务器连接端口
spring.redis.port=6379
# Redis服务器连接密码(默认为空)
spring.redis.password=
# Redis服务器超时时间(毫秒)
spring.redis.timeout=5000
# 连接池最大连接数(使用负值表示没有限制) 默认 8
spring.redis.lettuce.pool.max-active=8
# 连接池最大阻塞等待时间(使用负值表示没有限制)默认-1
spring.redis.lettuce.pool.max-wait=-1
# 连接池中的最大空闲连接 默认 8
spring.redis.lettuce.pool.max-idle=8
# 连接池中的最小空闲连接 默认 0
spring.redis.lettuce.pool.min-idle=0

3、编写MyShiroRealm文件

package com.demo.loginlock.config;

import com.demo.loginlock.entity.User;
import com.demo.loginlock.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;

import javax.annotation.Resource;
import java.util.concurrent.TimeUnit;

public class MyShiroRealm extends AuthorizingRealm {
    @Resource
    private UserService userService;
    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    //用户登录次数计数  redisKey 前缀
    private String SHIRO_LOGIN_COUNT = "shiro_login_count_";

    //用户登录是否被锁定  redisKey 前缀
    private String SHIRO_IS_LOCK = "shiro_is_lock_";


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("1:身份认证-->MyShiroRealm.doGetAuthorizationInfo()");
        UsernamePasswordToken token=(UsernamePasswordToken)authenticationToken;
        String userName=token.getUsername();
        String userPassword=new String(token.getPassword());
        System.out.println("usrName:"+userName);
        System.out.println("usrPassword:"+userPassword);

        //访问一次,计数一次
        ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();
        opsForValue.increment(SHIRO_LOGIN_COUNT+userName, 1);  //每次增加1
        System.out.println(userName+":账号登陆的次数是:"+opsForValue.get(SHIRO_LOGIN_COUNT+userName)) ;

        //如果这个账号登陆异常,则在登陆页面提醒。
        if(Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT+userName))>=3) {
            if ("LOCK".equals(opsForValue.get(SHIRO_IS_LOCK + userName))) {
                //计数大于3次,设置用户被锁定一分钟
                throw new DisabledAccountException("由于输入错误次数大于3次,帐号1分钟内已经禁止登录!");
            }
        }
        //实现锁定
        if(Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT+userName))>=3){
            opsForValue.set(SHIRO_IS_LOCK+userName, "LOCK");  //锁住这个账号,值是LOCK。
            stringRedisTemplate.expire(SHIRO_IS_LOCK+userName, 1, TimeUnit.MINUTES);  //expire  变量存活期限
        }

        //根据用户名去数据库查询
        User user=userService.getUser(userName);
        if(user==null){
            throw new UnknownAccountException("账号不存在!");
        }else if(!user.getUsrPassword().equals(userPassword)){
            throw new IncorrectCredentialsException("密码不正确!");
        }

        SimpleAuthenticationInfo authorizationInfo=new SimpleAuthenticationInfo(user,user.getUsrPassword(),getName());

        //清空登录计数
        opsForValue.set(SHIRO_LOGIN_COUNT+userName, "0");
        //清空锁
        opsForValue.set(SHIRO_IS_LOCK+userName, "");

        return authorizationInfo;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("2:权限认证-->MyShiroRealm.doGetAuthorizationInfo()");

        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
        return authorizationInfo;
    }
}

4、编写ShiroConfig文件

package com.demo.loginlock.config;

import com.demo.loginlock.service.UserService;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.annotation.Resource;
import java.util.LinkedHashMap;
import java.util.Map;


@Configuration
public class ShiroConfig{
    @Resource
    private UserService userService;

    @Bean
    public SecurityManager securityManager(){
        System.out.println("1:securityManager..........");
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //设置realm
        securityManager.setRealm(myShiroRealm());

        return securityManager;
    }

    @Bean
    public MyShiroRealm myShiroRealm(){
        System.out.println("2:myShiroRealm..........");
        MyShiroRealm myShiroRealm=new MyShiroRealm();
        return myShiroRealm;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        System.out.println("3:ShiroConfiguration.shiroFilter():配置权限控制规则");
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        
        //登录提交地址
        shiroFilterFactoryBean.setLoginUrl("/login");
        //访问没有授权的资源
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        //拦截器
        Map<String,String> filtrChainDefinitionMap=new LinkedHashMap<String,String>();
        //匿名可以访问的地址
        filtrChainDefinitionMap.put("/dologin","anon");
        filtrChainDefinitionMap.put("/css/**","anon");
        filtrChainDefinitionMap.put("/fonts/**","anon");
        filtrChainDefinitionMap.put("/images/**","anon");
        filtrChainDefinitionMap.put("/js/**","anon");
        filtrChainDefinitionMap.put("/localcss/**","anon");
        //配置退出(记住我状态下,可清除记住我的cookie)
        filtrChainDefinitionMap.put("/logout","logout");

        //所有路径必须授权访问(登录),且必须放在最后
        filtrChainDefinitionMap.put("/**","user");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filtrChainDefinitionMap);

        return shiroFilterFactoryBean;
    }
}

5、编写控制器登录请求

@RequestMapping(value = "/dologin")
    public String login(String usrName, String usrPassword, Map<String,Object> map, HttpSession session, HttpServletRequest request){
        System.out.println("dologin......");
        try{
            AuthenticationToken token=new UsernamePasswordToken(usrName,usrPassword);
            //调用Shiro进行认证
            SecurityUtils.getSubject().login(token);
            //从Shiro中拿出User对象
            User user=(User)SecurityUtils.getSubject().getPrincipal();
            session.setAttribute("user",user);
            System.out.println("登录成功!");
        }catch (Exception e){
            map.put("msg",e.getMessage());
            return "login";
        }
        return "redirect:/toMain";
    }

6、测试

输出错误的密码登录,每次登录redis中数据加1
在这里插入图片描述
在这里插入图片描述
当错误的次数达到指定次数就锁定,锁定期间输入正确密码登录无效,锁定时间结束后输入正确密码则登录成功并清除登录次数
在这里插入图片描述在这里插入图片描述

【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 6641
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
【三】Springboot+Redis实现密码次数限制
程序猿日记本
12-06 6214
Springboot+Redis实现对用户登录次数限制,超过5次则锁定用户
【架构设计】SpringBoot中使用Redis限制登录失败次数
秋装什么的博客
03-21 1024
【架构设计】SpringBoot中使用Redis限制登录失败次数
SpringBoot中使用Redis实现限制用户登陆次数
only___one的博客
04-17 600
/生成token,并保存到数据库。@SysLog("用户登录")//多次登录失败锁定账户。//账号不存在、密码错误。本文由博客一文多发平台。根据key获取计数器。
Spring Boot 项目中redis 分布式锁使用详解
最新发布
专注于技术分享
06-09 1212
Spring Boot 项目中使用 Redis 实现分布式锁,通常有以下几种方式,从简单到复杂,各有优劣:这里我们将重点详细讲解最常见的两种方式:手动实现和使用 Redisson。这种方式最基础,可以帮助理解分布式锁的原理,但需要开发者自己处理很多细节,如锁的释放、超时、可重入性等。1. 添加依赖 (pom.xml): 2. 配置 Redis (application.properties / application.yml): 3. 实现一个简单的分布式锁工具类: 手动实现的优缺点:Redisson
Redis 实现 用户输入密码错误5次锁定
liman1002的专栏
11-09 967
if (redisTemplate.hasKey(lockedKey)) {//判断是否存在锁定账号。// 设置 key 为 test 的值,并设置超时时间为 15 分钟。// 解锁时间已过,移除锁定状态。// 账号已被锁定,获取过期剩余时间。// 达到锁定阈值,锁定账号。// 还未解锁,拒绝登录。// 密码正确,重置错误计数器。* 判断用户账号是否被锁定,及超时时间
Spring项目使用Redis限制用户登录失败的次数以及暂时锁定用户登录权限
openallzzz
08-17 3248
登录业务预先判断了该账号是否被锁定,如果短期内有大量登录请求(用户不断试错、被恶意攻击),压力只会给到Redis,从而避免DB被大量请求打中。
ssm+shiro+redis 登录控制及重试次数超过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数超过5次后账号锁定一分钟不能登录
【二】Springboot+Mybatis+Redis实现用户信息查询缓存
程序猿日记本
12-05 7854
Springboot+mybatis+redis实现用户信息查询缓存
整合SpringBoot+Shiro+Redis之完整案例,包括重写cache、cacheManager、SessionDAO
zkcJava的博客
09-08 1864
一个简单的ShiroDemo一、创建springboot工程,导入依赖二、yml文件配置三、根据MP插件生成mapper,entity,service,impl,mapper.xml3.1 User类1. User实体2. UserService3. UserServiceImpl4. UserMapper5. UserMapper.xml3.2 Role类1. Role实体2. RoleService3. RoleServiceImpl4. RoleMapper5. RoleMapper.xml3.3 P
Redisspringboot密码自定义加解密
trjune的博客
11-09 5974
redisspringboot中配置密文密码处理方式
深入解析Redis分布式锁:加锁解锁流程、集群问题及解决方案
weixin_74047328的博客
02-17 1054
深入解析Redis分布式锁:加锁解锁流程、集群问题及解决方案
“用户多次登录,账号冻结业务”功能实现(代码+详细注释)
CYK_byte的博客
04-10 1994
用户输错密码过多,我们该如何处理?
项目实战--Spring Boot实现三次登录容错功能
qq_40623672的博客
06-28 1144
一、功能描述 项目设计要求输入三次错误密码后,要求隔段时间才能继续进行登录操作,这里简单记录一下实现思路 二、设计方案 有几个问题需要考虑一下: 1.是只有输错密码锁定,还是账户名和密码任何一个输错就锁定? 2.输错之后也不是完全冻结,为啥隔了几分钟又可以重新输了? 3.技术栈实现是否麻烦? 参考资料发现,SpringBoot+Redis+Lua脚本这套方案不错,也早有人使用,所以阔以来简单回答以上的问题 1.锁定的是IP(最好还能加上客户端的物理设备ID放于请求头中),不是输入的账户名或者密码
java实现登陆失败n次锁定账户,y分钟后自动解锁,两次失败间隔时间过大则不计次数(含redis处理)
qq_45502554的博客
02-12 8890
1. 功能说明 功能使用springboot框架完成,主要就是作用就是当用户登陆错误次数过多(本文登陆3次失败,锁定账户30分钟),将锁定账户,在30分钟后自动解除,并且如果两次错误登陆时间大于指定的时间差(本文为了演示,使用1分钟来代替),就只更新错误登陆时间,不更新错误登陆次数。 登陆次数,锁定时间以及登陆错误时间间隔应该放在配置文件中,本文为了演示,暂时写在代码中,后续上线部署就需要放在配置文件中来获取 2.代码层面 (1)实体类(SysUserDO) //多余的实体属性可能不需要,已隐藏
springboot框架实现锁住连续登录失败的用户
weixin_43820107的博客
12-20 2747
springboot框架下锁住连续登录失败的用户介绍问题对问题的想法具体操作 具体场景和操作是自行实现,基础代码参考自: SpringBoot注册登录(四):登录功能密码错误三次,需要等待2分钟才能登录,固定时间内不能登录. 介绍 第一次写博客,想分享下学到的知识和自己的想法,希望能够帮助同样受到困惑的朋友,同时也是给容易失忆的自己留个mark,由于我容易忘所以我喜欢把这些东西写得稍微详细点.如果有什么错误希望大家帮忙指出,本人语言组织有点差,希望多多谅解.这个知识也是我站在巨人的肩膀上前进,所以非常感
SpringBoot+Shiro+ehcache实现登录失败超次数锁定帐号
Java持续实践
02-26 4657
文章目录一 Shiro的执行流程二.Controller层接收登录请求三.自定义的Realm四.密码验证器增加登录次数校验功能五.ShiroConfig的配置类六.EhCache 的配置七. 全局异常的配置 一 Shiro的执行流程 1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shi...
详解Redis分布式锁(图文并茂,手把手搭建服务,一文轻松搞定
m0_74931167的博客
04-10 1596
无论是哪家公司,都很重视Spring框架技术,重视基础,所以千万别小看任何知识。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,好了希望这篇文章对大家有帮助!一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
基于springboot+vue的酒店入住管理系统
01-26
- JWT(JSON Web Token)实现无状态会话管理和跨域资源共享(CORS)[^2]; - Redis缓存常用查询结果加快响应速度降低数据库压力。 #### 关键功能模块分析 ##### 登录注册流程 提供标准的账号密码形式完成用户的登录...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值