`

登录接口防攻击 03

    博客分类:
  • Java
阅读更多

接着前两篇日志

http://hw1287789687.iteye.com/blog/2215776

http://hw1287789687.iteye.com/blog/2216493

 

我之前遇到过忘记路由器密码的情况,我在192.168.1.1的登录界面尝试可能的密码,希望能够猜中,但是输错3次之后,就必须等待5分钟,我们可以借鉴这种策略.

 

连续3次登录失败,就锁定5分钟(5分钟之内无视登录请求)

解释:

连续登录失败3次,就设置isLocked为true,表示锁定,并设置定时器,任务是5分钟之后设置isLocked为false.

服务器接受到登录请求时,在查询数据库之前先判断是否锁定,若isLocked为true,则不用查询数据库,直接返回登录失败.若isLocked为false,则正常查询数据库.

被锁定之后,必须等待5分钟,若锁定之后登录,则定时器重新计时.

比如我等待了2分钟,还要等3分钟,我就又可以登录了.但是还需要等3分钟的时候我还去登录,那么定时器从此刻开始计时,即我又要等待5分钟.

在锁定期间,接收登录请求不会访问数据库.

 

具体实现:

(a)spring 的aop

在登录校验方法处添加aop切面,类型是around

上代码:

package com.shop.jn.aop;

import java.util.Timer;

import org.apache.log4j.Logger;
import org.aspectj.lang.ProceedingJoinPoint;

import com.common.entity.user.interf.GenericUser;
import com.common.util.LoginUtil;
import com.common.util.SystemHWUtil;
import com.opensymphony.xwork2.Action;
import com.shop.jn.common.MyTask;
import com.shop.jn.listener.UploadedFilesServletContextListener;

public class LoginTimesAop {
	private Logger logger = Logger.getLogger(this.getClass());
	private int timesFail = 0;
	private Timer timer = new Timer();
	private MyTask task = null;
	/***
	 * 因连续登录失败的次数达到上限,而锁定:规定时间内无法登录
	 */
	private boolean isLocked = false;
	private String classSimpleName = this.getClass().getSimpleName();

	public LoginTimesAop() {
		super();
		logger.info("aop:constructor.");
	}

	public void before3(GenericUser user) {
		System.out.println("user:" + user.getUsername());
		logger.info("aop:before3");
	}

	// public void monitor(String username, String passwd) {
	// timesFail++;
	// logger.info("aop:-------------------------------------");
	// logger.info("username:" + username + " , password:" + passwd);
	// System.out.println("username:" + username + " , password:" + passwd);
	// System.out.println("times of fail:" + timesFail+" times.");
	// }

	// ,ProceedingJoinPoint call
	public Object around(ProceedingJoinPoint call, GenericUser user)
			throws Throwable {
		if(!UploadedFilesServletContextListener.isLimitLoginFailedThreeTimes){
			return call.proceed();
		}
		String aop_info = "aop[" + classSimpleName + "]:";
		// logger.info(aop_info + "This is around method.");
		// logger.info("username:" + user.getUsername() + " ,password:"
		// + user.getPassword());

		Object[] obj;
		if (!isLocked()) {// 没有锁定
			//com.common.service.impl.SUserService  Object[] login(String username,String passwd)
			obj = (Object[]) call.proceed();//负责登录校验的,真正干活的.
			int resultCode = (Integer) obj[0];
			if (resultCode == LoginUtil.LOGIN_RESULT_SUCCESS) {
				timesFail = 0;
			} else {// 登录失败
				timesFail++;
				logger.info(aop_info + "times of fail:" + timesFail + " times.");
			}
		} else {
			logger.info("账号已被锁定");
			obj = new Object[2];
		}
		// 连续登录失败超过3次
		if (UploadedFilesServletContextListener.isLimitLoginFailedThreeTimes/*
																			 * 是否限定连续登录失败三次就锁定
																			 */
				&& timesFail >= LoginUtil.MAX_LOGIN_FAIL_TIMES) {
			// ValueStack stack = actionContext.getValueStack();
			// stack.set("MESSAGE_IS_LOGIN", "You have failed " + timesFail
			// + " times.");

			if (isLocked()) {// over three times and is still locked,meanwhile use
							// try to log in
				if (task != null) {
					logger.info(aop_info + " cancel task.");
					task.cancel();
					task = null;
				}
			} else {// first into this if clause(if (timesFail >=
					// LoginUtil.MAX_LOGIN_FAIL_TIMES ))
				task = null;
			}
			if (timer == null) {
				timer = new Timer();
			}

			if (task == null) {
				task = new MyTask(this);
			}
			logger.info(aop_info + "start task....");
			timer.schedule(task, LoginUtil.MILLISECONDS_WAIT_WHEN_FAIL);
			setLocked(true);
			// Object[] results = new Object[2];
			obj[0] = LoginUtil.LOGIN_RESULT_OVER_TIMES;/*
														 * You have failed three
														 * times.
														 */
			// return results;// not success
			logger.info(SystemHWUtil.DIVIDING_LINE);
		}
		return obj;
	}

	// public void before() {
	// logger.info("aop:This is before method:user try to log in......");
	// System.out.println("aop:before");
	// }

	public void afterReturning(Object retVal) {
		logger.info("aop:return code:" + (String) retVal);
		if (retVal == null || !retVal.equals(Action.SUCCESS)) {
			logger.warn("aop:login failed!");
		}
	}

	// public void before2(User user){
	// logger.info("aop:This is before2 method:user try to log in......");
	// logger.info("username:" + user.getUsername() + " , password:" +
	// user.getPassword());
	// }

	public int getTimesFail() {
		return timesFail;
	}

	public void setTimesFail(int timesFail) {
		this.timesFail = timesFail;
	}

	public synchronized boolean isLocked() {
		return isLocked;
	}

	public synchronized void  setLocked(boolean isLocked) {
		this.isLocked = isLocked;
	}

}

 定时器执行的任务

public class MyTask extends java.util.TimerTask{
	private LoginTimesAop loginTime;
	
	public MyTask(LoginTimesAop loginTime) {
		super();
		this.loginTime=loginTime;
	}

	@Override
	public void run() {
		loginTime.setTimesFail(0);
		loginTime.setLocked(false);
	}
}

 aop配置:

<aop:pointcut id="userServicePointcut"
			expression="execution(* com.common.service.impl.SUserService.login(..)) and args(..,user2)" />
		<aop:aspect id="myAspect" ref="loginTimesAop">
			<aop:before method="before3" arg-names="user2" pointcut-ref="userServicePointcut" 
				/>
			<aop:around pointcut-ref="userServicePointcut" method="around"
				arg-names="user2" />
		</aop:aspect>

 

(b)spring MVC中的拦截器,需继承org.springframework.web.servlet.HandlerInterceptor

关于拦截器参考:spring mvc xml配置拦截器

拦截器的demo

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

public class HandlerInterceptor1 extends HandlerInterceptorAdapter {
	@Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
        System.out.println("===========HandlerInterceptor1 preHandle");  
        return true;  
    }  
    @Override  
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {  
        System.out.println("===========HandlerInterceptor1 postHandle");  
    }  
    @Override  
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {  
        System.out.println("===========HandlerInterceptor1 afterCompletion");  
    }  
}

 

参考:http://hw1287789687.iteye.com/blog/2215776

http://hw1287789687.iteye.com/blog/2216493

0
0
分享到:
评论

相关推荐

    API接口手工防御被恶意调用和接口被攻击

    通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均...

    web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例

    记录API的调用日志,监控异常行为,如频繁失败的登录尝试或异常高的请求频率,以便及时发现并应对潜在攻击。 最后,**安全编码和训练** 是防御的前线。开发者应该遵循安全编码的最佳实践,了解常见的攻击模式,参加...

    接口防护措施总结.doc

    首先,电源输入端口的防护是任何设备安全防护的第一道门槛,因为电源端口是直接与外界交流,最容易遭受雷击和浪涌攻击的部位。为了达到有效的过电压保护,通常会在电源端口接入特定的保护元件,例如压敏电阻和放电管...

    API接口安全策略文档

    首先,针对伪装攻击,即第三方非法调用接口,我们可以通过严格的权限控制和身份验证机制来防止。API接口应只接受经过认证的应用程序的请求,这通常涉及到分配唯一的APP ID和Secret,使得服务端可以通过APP ID查找出...

    防攻击 易语言端口转发源码

    在“防攻击 易语言端口转发源码”这个主题中,我们将深入探讨易语言实现端口转发的基本原理、代码结构以及可能涉及到的相关知识点。 端口转发的核心原理是利用TCP或UDP协议栈的工作机制,监听本地的一个端口,当...

    C#winform工具模拟getpost请求,app防攻击加密源码

    2,写的接口总是被攻击的可以借鉴此加密方式。 【2】为啥要写这个 1,近期我们团队做的App接口被破解,老是被频繁调用,服务器致瘫; 2,想了办法加密了,如果遇到问题想调试,没办法通过日志里的请求串来直接调用;...

    网络工程交换机防攻击配置

    网络工程中的交换机防攻击配置是一项至关重要的任务,旨在保护网络设备和数据不受恶意攻击。本文将详细讲解如何在锐捷交换机上进行防攻击配置,包括防ARP攻击、端口安全配置、单臂路由、PPP验证以及生成树协议等关键...

    接口文档模板.docx

    - **防注入攻击**:防止SQL注入等安全漏洞。 6. **文档规范** - **清晰性**:参数说明要明确,避免模糊不清。 - **一致性**:所有接口的格式、命名和注释应保持一致。 - **更新维护**:接口发生变化时,文档需...

    预防溢出攻击

    压缩包中的"IT168.com-109493Safe3IF"可能是一个关于安全防护的资源或教程,它可能包含了更具体的预防溢出攻击的策略和技术,如3IF可能代表一种安全框架或接口。在实际应用中,结合这样的资源学习和实践,可以进一步...

    SS728M03+接口库及测试程序-V1.1.0.0.zip

    4. **安全测试**:检查接口在遭受攻击时的防御能力,确保系统的安全性。 5. **兼容性测试**:验证接口库与不同操作系统、数据库和其他硬件设备的兼容性。 在使用神思SS728M03接口库时,开发人员需要遵循其提供的...

    java AOP接口防刷代码

    在这个"java AOP接口防刷代码"中,我们很可能是找到了一种防止接口被恶意频繁调用的解决方案,这在Web应用中尤其重要,因为接口被刷可能会导致服务器资源耗尽,甚至影响正常用户的服务。 AOP的工作原理是通过动态...

    2023最新防红短链接在线生成源码内置接口无广告.zip

    防红短链接,全称“防止被红包钓鱼的短链接”,是一种用于保护用户免受恶意链接攻击的技术。2023年最新发布的这款防红短链接在线生成源码,以其内置接口和无广告的特点,为开发者提供了一个高效且安全的解决方案。 ...

    详解Java分布式IP限流和防止恶意IP攻击方案

    这种方案可以应用于分布式环境下接口调用频次管控和防止恶意IP攻击,保护系统和用户的安全。 四、扩展和优化 在实际应用中,可以根据业务需求进行扩展和优化,例如增加更多的规则和限制,提高防止恶意IP攻击的能力...

    网银最新接口,北京发布攻击通用

    【网银最新接口详解】 随着科技的发展,网银服务已经成为我们日常生活中不可或缺的一部分,而网银接口作为连接银行系统与用户的重要桥梁,其安全性、稳定性和便捷性至关重要。"网银最新接口"这一概念,指的是银行...

    DOS攻击介绍与防御

    2. **网络层次模型**:OSI七层模型(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层)和TCP/IP四层模型(网络接口层、网络层、传输层、应用层)用于定义网络通信的各个阶段和功能。 3. **IP地址**:...

    SpringBoot系列——防重放与操作幂等.doc

    SpringBoot 防重放与操作幂等 在日常开发中,我们经常会遇到需要防止重复提交和操作幂等的问题,本文将记录 SpringBoot 实现简单防重放与幂等的方法。 防重放是指防止数据重复提交,例如用户多次点击提交按钮或...

    锐捷交换机设备对网络攻击的防范

    为了对抗这些攻击,锐捷交换机内置了包括防SYN、Smurf攻击、DOS攻击、源IP地址欺骗攻击、检测源地址检查等多种防护措施。其中,BPDU Guard功能防止对生成树协议的攻击,而基于802.1x/RADIUS的身份验证、SSH、源IP...

    kk-anti-reptile开源反爬虫接口防刷组件 v1.0.zip

    《kk-anti-reptile开源反...总之,kk-anti-reptile开源反爬虫接口防刷组件 v1.0是一个强大的工具,它提供了多种策略来防御爬虫攻击,保护Web接口的安全。无论是学习还是实际应用,这个组件都值得我们深入研究和使用。

    XSS跨站脚本攻击剖析与防御

    - 3.7 "attackapi.pdf"可能介绍了攻击者如何利用API接口进行XSS攻击,这通常涉及未验证的用户输入和错误的数据处理。 - 6.4 "利用flash进行xss攻击剖析.pdf"可能讨论了Flash技术在XSS攻击中的角色,因为Flash曾经...

Global site tag (gtag.js) - Google Analytics