接着前两篇日志
http://hw1287789687.iteye.com/blog/2215776
http://hw1287789687.iteye.com/blog/2216493
我之前遇到过忘记路由器密码的情况,我在192.168.1.1的登录界面尝试可能的密码,希望能够猜中,但是输错3次之后,就必须等待5分钟,我们可以借鉴这种策略.
连续3次登录失败,就锁定5分钟(5分钟之内无视登录请求)
解释:
连续登录失败3次,就设置isLocked为true,表示锁定,并设置定时器,任务是5分钟之后设置isLocked为false.
服务器接受到登录请求时,在查询数据库之前先判断是否锁定,若isLocked为true,则不用查询数据库,直接返回登录失败.若isLocked为false,则正常查询数据库.
被锁定之后,必须等待5分钟,若锁定之后登录,则定时器重新计时.
比如我等待了2分钟,还要等3分钟,我就又可以登录了.但是还需要等3分钟的时候我还去登录,那么定时器从此刻开始计时,即我又要等待5分钟.
在锁定期间,接收登录请求不会访问数据库.
具体实现:
(a)spring 的aop
在登录校验方法处添加aop切面,类型是around
上代码:
package com.shop.jn.aop;
import java.util.Timer;
import org.apache.log4j.Logger;
import org.aspectj.lang.ProceedingJoinPoint;
import com.common.entity.user.interf.GenericUser;
import com.common.util.LoginUtil;
import com.common.util.SystemHWUtil;
import com.opensymphony.xwork2.Action;
import com.shop.jn.common.MyTask;
import com.shop.jn.listener.UploadedFilesServletContextListener;
public class LoginTimesAop {
private Logger logger = Logger.getLogger(this.getClass());
private int timesFail = 0;
private Timer timer = new Timer();
private MyTask task = null;
/***
* 因连续登录失败的次数达到上限,而锁定:规定时间内无法登录
*/
private boolean isLocked = false;
private String classSimpleName = this.getClass().getSimpleName();
public LoginTimesAop() {
super();
logger.info("aop:constructor.");
}
public void before3(GenericUser user) {
System.out.println("user:" + user.getUsername());
logger.info("aop:before3");
}
// public void monitor(String username, String passwd) {
// timesFail++;
// logger.info("aop:-------------------------------------");
// logger.info("username:" + username + " , password:" + passwd);
// System.out.println("username:" + username + " , password:" + passwd);
// System.out.println("times of fail:" + timesFail+" times.");
// }
// ,ProceedingJoinPoint call
public Object around(ProceedingJoinPoint call, GenericUser user)
throws Throwable {
if(!UploadedFilesServletContextListener.isLimitLoginFailedThreeTimes){
return call.proceed();
}
String aop_info = "aop[" + classSimpleName + "]:";
// logger.info(aop_info + "This is around method.");
// logger.info("username:" + user.getUsername() + " ,password:"
// + user.getPassword());
Object[] obj;
if (!isLocked()) {// 没有锁定
//com.common.service.impl.SUserService Object[] login(String username,String passwd)
obj = (Object[]) call.proceed();//负责登录校验的,真正干活的.
int resultCode = (Integer) obj[0];
if (resultCode == LoginUtil.LOGIN_RESULT_SUCCESS) {
timesFail = 0;
} else {// 登录失败
timesFail++;
logger.info(aop_info + "times of fail:" + timesFail + " times.");
}
} else {
logger.info("账号已被锁定");
obj = new Object[2];
}
// 连续登录失败超过3次
if (UploadedFilesServletContextListener.isLimitLoginFailedThreeTimes/*
* 是否限定连续登录失败三次就锁定
*/
&& timesFail >= LoginUtil.MAX_LOGIN_FAIL_TIMES) {
// ValueStack stack = actionContext.getValueStack();
// stack.set("MESSAGE_IS_LOGIN", "You have failed " + timesFail
// + " times.");
if (isLocked()) {// over three times and is still locked,meanwhile use
// try to log in
if (task != null) {
logger.info(aop_info + " cancel task.");
task.cancel();
task = null;
}
} else {// first into this if clause(if (timesFail >=
// LoginUtil.MAX_LOGIN_FAIL_TIMES ))
task = null;
}
if (timer == null) {
timer = new Timer();
}
if (task == null) {
task = new MyTask(this);
}
logger.info(aop_info + "start task....");
timer.schedule(task, LoginUtil.MILLISECONDS_WAIT_WHEN_FAIL);
setLocked(true);
// Object[] results = new Object[2];
obj[0] = LoginUtil.LOGIN_RESULT_OVER_TIMES;/*
* You have failed three
* times.
*/
// return results;// not success
logger.info(SystemHWUtil.DIVIDING_LINE);
}
return obj;
}
// public void before() {
// logger.info("aop:This is before method:user try to log in......");
// System.out.println("aop:before");
// }
public void afterReturning(Object retVal) {
logger.info("aop:return code:" + (String) retVal);
if (retVal == null || !retVal.equals(Action.SUCCESS)) {
logger.warn("aop:login failed!");
}
}
// public void before2(User user){
// logger.info("aop:This is before2 method:user try to log in......");
// logger.info("username:" + user.getUsername() + " , password:" +
// user.getPassword());
// }
public int getTimesFail() {
return timesFail;
}
public void setTimesFail(int timesFail) {
this.timesFail = timesFail;
}
public synchronized boolean isLocked() {
return isLocked;
}
public synchronized void setLocked(boolean isLocked) {
this.isLocked = isLocked;
}
}
定时器执行的任务
public class MyTask extends java.util.TimerTask{
private LoginTimesAop loginTime;
public MyTask(LoginTimesAop loginTime) {
super();
this.loginTime=loginTime;
}
@Override
public void run() {
loginTime.setTimesFail(0);
loginTime.setLocked(false);
}
}
aop配置:
<aop:pointcut id="userServicePointcut" expression="execution(* com.common.service.impl.SUserService.login(..)) and args(..,user2)" /> <aop:aspect id="myAspect" ref="loginTimesAop"> <aop:before method="before3" arg-names="user2" pointcut-ref="userServicePointcut" /> <aop:around pointcut-ref="userServicePointcut" method="around" arg-names="user2" /> </aop:aspect>
(b)spring MVC中的拦截器,需继承org.springframework.web.servlet.HandlerInterceptor
关于拦截器参考:spring mvc xml配置拦截器
拦截器的demo
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
public class HandlerInterceptor1 extends HandlerInterceptorAdapter {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("===========HandlerInterceptor1 preHandle");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("===========HandlerInterceptor1 postHandle");
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("===========HandlerInterceptor1 afterCompletion");
}
}
参考:http://hw1287789687.iteye.com/blog/2215776
http://hw1287789687.iteye.com/blog/2216493
相关推荐
通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均...
记录API的调用日志,监控异常行为,如频繁失败的登录尝试或异常高的请求频率,以便及时发现并应对潜在攻击。 最后,**安全编码和训练** 是防御的前线。开发者应该遵循安全编码的最佳实践,了解常见的攻击模式,参加...
首先,电源输入端口的防护是任何设备安全防护的第一道门槛,因为电源端口是直接与外界交流,最容易遭受雷击和浪涌攻击的部位。为了达到有效的过电压保护,通常会在电源端口接入特定的保护元件,例如压敏电阻和放电管...
首先,针对伪装攻击,即第三方非法调用接口,我们可以通过严格的权限控制和身份验证机制来防止。API接口应只接受经过认证的应用程序的请求,这通常涉及到分配唯一的APP ID和Secret,使得服务端可以通过APP ID查找出...
在“防攻击 易语言端口转发源码”这个主题中,我们将深入探讨易语言实现端口转发的基本原理、代码结构以及可能涉及到的相关知识点。 端口转发的核心原理是利用TCP或UDP协议栈的工作机制,监听本地的一个端口,当...
2,写的接口总是被攻击的可以借鉴此加密方式。 【2】为啥要写这个 1,近期我们团队做的App接口被破解,老是被频繁调用,服务器致瘫; 2,想了办法加密了,如果遇到问题想调试,没办法通过日志里的请求串来直接调用;...
网络工程中的交换机防攻击配置是一项至关重要的任务,旨在保护网络设备和数据不受恶意攻击。本文将详细讲解如何在锐捷交换机上进行防攻击配置,包括防ARP攻击、端口安全配置、单臂路由、PPP验证以及生成树协议等关键...
- **防注入攻击**:防止SQL注入等安全漏洞。 6. **文档规范** - **清晰性**:参数说明要明确,避免模糊不清。 - **一致性**:所有接口的格式、命名和注释应保持一致。 - **更新维护**:接口发生变化时,文档需...
压缩包中的"IT168.com-109493Safe3IF"可能是一个关于安全防护的资源或教程,它可能包含了更具体的预防溢出攻击的策略和技术,如3IF可能代表一种安全框架或接口。在实际应用中,结合这样的资源学习和实践,可以进一步...
4. **安全测试**:检查接口在遭受攻击时的防御能力,确保系统的安全性。 5. **兼容性测试**:验证接口库与不同操作系统、数据库和其他硬件设备的兼容性。 在使用神思SS728M03接口库时,开发人员需要遵循其提供的...
在这个"java AOP接口防刷代码"中,我们很可能是找到了一种防止接口被恶意频繁调用的解决方案,这在Web应用中尤其重要,因为接口被刷可能会导致服务器资源耗尽,甚至影响正常用户的服务。 AOP的工作原理是通过动态...
防红短链接,全称“防止被红包钓鱼的短链接”,是一种用于保护用户免受恶意链接攻击的技术。2023年最新发布的这款防红短链接在线生成源码,以其内置接口和无广告的特点,为开发者提供了一个高效且安全的解决方案。 ...
这种方案可以应用于分布式环境下接口调用频次管控和防止恶意IP攻击,保护系统和用户的安全。 四、扩展和优化 在实际应用中,可以根据业务需求进行扩展和优化,例如增加更多的规则和限制,提高防止恶意IP攻击的能力...
【网银最新接口详解】 随着科技的发展,网银服务已经成为我们日常生活中不可或缺的一部分,而网银接口作为连接银行系统与用户的重要桥梁,其安全性、稳定性和便捷性至关重要。"网银最新接口"这一概念,指的是银行...
2. **网络层次模型**:OSI七层模型(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层)和TCP/IP四层模型(网络接口层、网络层、传输层、应用层)用于定义网络通信的各个阶段和功能。 3. **IP地址**:...
SpringBoot 防重放与操作幂等 在日常开发中,我们经常会遇到需要防止重复提交和操作幂等的问题,本文将记录 SpringBoot 实现简单防重放与幂等的方法。 防重放是指防止数据重复提交,例如用户多次点击提交按钮或...
为了对抗这些攻击,锐捷交换机内置了包括防SYN、Smurf攻击、DOS攻击、源IP地址欺骗攻击、检测源地址检查等多种防护措施。其中,BPDU Guard功能防止对生成树协议的攻击,而基于802.1x/RADIUS的身份验证、SSH、源IP...
《kk-anti-reptile开源反...总之,kk-anti-reptile开源反爬虫接口防刷组件 v1.0是一个强大的工具,它提供了多种策略来防御爬虫攻击,保护Web接口的安全。无论是学习还是实际应用,这个组件都值得我们深入研究和使用。
- 3.7 "attackapi.pdf"可能介绍了攻击者如何利用API接口进行XSS攻击,这通常涉及未验证的用户输入和错误的数据处理。 - 6.4 "利用flash进行xss攻击剖析.pdf"可能讨论了Flash技术在XSS攻击中的角色,因为Flash曾经...