接着前两篇日志
http://hw1287789687.iteye.com/blog/2215776
http://hw1287789687.iteye.com/blog/2216493
我之前遇到过忘记路由器密码的情况,我在192.168.1.1的登录界面尝试可能的密码,希望能够猜中,但是输错3次之后,就必须等待5分钟,我们可以借鉴这种策略.
连续3次登录失败,就锁定5分钟(5分钟之内无视登录请求)
解释:
连续登录失败3次,就设置isLocked为true,表示锁定,并设置定时器,任务是5分钟之后设置isLocked为false.
服务器接受到登录请求时,在查询数据库之前先判断是否锁定,若isLocked为true,则不用查询数据库,直接返回登录失败.若isLocked为false,则正常查询数据库.
被锁定之后,必须等待5分钟,若锁定之后登录,则定时器重新计时.
比如我等待了2分钟,还要等3分钟,我就又可以登录了.但是还需要等3分钟的时候我还去登录,那么定时器从此刻开始计时,即我又要等待5分钟.
在锁定期间,接收登录请求不会访问数据库.
具体实现:
(a)spring 的aop
在登录校验方法处添加aop切面,类型是around
上代码:
package com.shop.jn.aop; import java.util.Timer; import org.apache.log4j.Logger; import org.aspectj.lang.ProceedingJoinPoint; import com.common.entity.user.interf.GenericUser; import com.common.util.LoginUtil; import com.common.util.SystemHWUtil; import com.opensymphony.xwork2.Action; import com.shop.jn.common.MyTask; import com.shop.jn.listener.UploadedFilesServletContextListener; public class LoginTimesAop { private Logger logger = Logger.getLogger(this.getClass()); private int timesFail = 0; private Timer timer = new Timer(); private MyTask task = null; /*** * 因连续登录失败的次数达到上限,而锁定:规定时间内无法登录 */ private boolean isLocked = false; private String classSimpleName = this.getClass().getSimpleName(); public LoginTimesAop() { super(); logger.info("aop:constructor."); } public void before3(GenericUser user) { System.out.println("user:" + user.getUsername()); logger.info("aop:before3"); } // public void monitor(String username, String passwd) { // timesFail++; // logger.info("aop:-------------------------------------"); // logger.info("username:" + username + " , password:" + passwd); // System.out.println("username:" + username + " , password:" + passwd); // System.out.println("times of fail:" + timesFail+" times."); // } // ,ProceedingJoinPoint call public Object around(ProceedingJoinPoint call, GenericUser user) throws Throwable { if(!UploadedFilesServletContextListener.isLimitLoginFailedThreeTimes){ return call.proceed(); } String aop_info = "aop[" + classSimpleName + "]:"; // logger.info(aop_info + "This is around method."); // logger.info("username:" + user.getUsername() + " ,password:" // + user.getPassword()); Object[] obj; if (!isLocked()) {// 没有锁定 //com.common.service.impl.SUserService Object[] login(String username,String passwd) obj = (Object[]) call.proceed();//负责登录校验的,真正干活的. int resultCode = (Integer) obj[0]; if (resultCode == LoginUtil.LOGIN_RESULT_SUCCESS) { timesFail = 0; } else {// 登录失败 timesFail++; logger.info(aop_info + "times of fail:" + timesFail + " times."); } } else { logger.info("账号已被锁定"); obj = new Object[2]; } // 连续登录失败超过3次 if (UploadedFilesServletContextListener.isLimitLoginFailedThreeTimes/* * 是否限定连续登录失败三次就锁定 */ && timesFail >= LoginUtil.MAX_LOGIN_FAIL_TIMES) { // ValueStack stack = actionContext.getValueStack(); // stack.set("MESSAGE_IS_LOGIN", "You have failed " + timesFail // + " times."); if (isLocked()) {// over three times and is still locked,meanwhile use // try to log in if (task != null) { logger.info(aop_info + " cancel task."); task.cancel(); task = null; } } else {// first into this if clause(if (timesFail >= // LoginUtil.MAX_LOGIN_FAIL_TIMES )) task = null; } if (timer == null) { timer = new Timer(); } if (task == null) { task = new MyTask(this); } logger.info(aop_info + "start task...."); timer.schedule(task, LoginUtil.MILLISECONDS_WAIT_WHEN_FAIL); setLocked(true); // Object[] results = new Object[2]; obj[0] = LoginUtil.LOGIN_RESULT_OVER_TIMES;/* * You have failed three * times. */ // return results;// not success logger.info(SystemHWUtil.DIVIDING_LINE); } return obj; } // public void before() { // logger.info("aop:This is before method:user try to log in......"); // System.out.println("aop:before"); // } public void afterReturning(Object retVal) { logger.info("aop:return code:" + (String) retVal); if (retVal == null || !retVal.equals(Action.SUCCESS)) { logger.warn("aop:login failed!"); } } // public void before2(User user){ // logger.info("aop:This is before2 method:user try to log in......"); // logger.info("username:" + user.getUsername() + " , password:" + // user.getPassword()); // } public int getTimesFail() { return timesFail; } public void setTimesFail(int timesFail) { this.timesFail = timesFail; } public synchronized boolean isLocked() { return isLocked; } public synchronized void setLocked(boolean isLocked) { this.isLocked = isLocked; } }
定时器执行的任务
public class MyTask extends java.util.TimerTask{ private LoginTimesAop loginTime; public MyTask(LoginTimesAop loginTime) { super(); this.loginTime=loginTime; } @Override public void run() { loginTime.setTimesFail(0); loginTime.setLocked(false); } }
aop配置:
<aop:pointcut id="userServicePointcut" expression="execution(* com.common.service.impl.SUserService.login(..)) and args(..,user2)" /> <aop:aspect id="myAspect" ref="loginTimesAop"> <aop:before method="before3" arg-names="user2" pointcut-ref="userServicePointcut" /> <aop:around pointcut-ref="userServicePointcut" method="around" arg-names="user2" /> </aop:aspect>
(b)spring MVC中的拦截器,需继承org.springframework.web.servlet.HandlerInterceptor
关于拦截器参考:spring mvc xml配置拦截器
拦截器的demo
import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.ModelAndView; import org.springframework.web.servlet.handler.HandlerInterceptorAdapter; public class HandlerInterceptor1 extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("===========HandlerInterceptor1 preHandle"); return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { System.out.println("===========HandlerInterceptor1 postHandle"); } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { System.out.println("===========HandlerInterceptor1 afterCompletion"); } }
参考:http://hw1287789687.iteye.com/blog/2215776
http://hw1287789687.iteye.com/blog/2216493
相关推荐
通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均...
记录API的调用日志,监控异常行为,如频繁失败的登录尝试或异常高的请求频率,以便及时发现并应对潜在攻击。 最后,**安全编码和训练** 是防御的前线。开发者应该遵循安全编码的最佳实践,了解常见的攻击模式,参加...
首先,电源输入端口的防护是任何设备安全防护的第一道门槛,因为电源端口是直接与外界交流,最容易遭受雷击和浪涌攻击的部位。为了达到有效的过电压保护,通常会在电源端口接入特定的保护元件,例如压敏电阻和放电管...
首先,针对伪装攻击,即第三方非法调用接口,我们可以通过严格的权限控制和身份验证机制来防止。API接口应只接受经过认证的应用程序的请求,这通常涉及到分配唯一的APP ID和Secret,使得服务端可以通过APP ID查找出...
在“防攻击 易语言端口转发源码”这个主题中,我们将深入探讨易语言实现端口转发的基本原理、代码结构以及可能涉及到的相关知识点。 端口转发的核心原理是利用TCP或UDP协议栈的工作机制,监听本地的一个端口,当...
2,写的接口总是被攻击的可以借鉴此加密方式。 【2】为啥要写这个 1,近期我们团队做的App接口被破解,老是被频繁调用,服务器致瘫; 2,想了办法加密了,如果遇到问题想调试,没办法通过日志里的请求串来直接调用;...
网络工程中的交换机防攻击配置是一项至关重要的任务,旨在保护网络设备和数据不受恶意攻击。本文将详细讲解如何在锐捷交换机上进行防攻击配置,包括防ARP攻击、端口安全配置、单臂路由、PPP验证以及生成树协议等关键...
- **防注入攻击**:防止SQL注入等安全漏洞。 6. **文档规范** - **清晰性**:参数说明要明确,避免模糊不清。 - **一致性**:所有接口的格式、命名和注释应保持一致。 - **更新维护**:接口发生变化时,文档需...
压缩包中的"IT168.com-109493Safe3IF"可能是一个关于安全防护的资源或教程,它可能包含了更具体的预防溢出攻击的策略和技术,如3IF可能代表一种安全框架或接口。在实际应用中,结合这样的资源学习和实践,可以进一步...
4. **安全测试**:检查接口在遭受攻击时的防御能力,确保系统的安全性。 5. **兼容性测试**:验证接口库与不同操作系统、数据库和其他硬件设备的兼容性。 在使用神思SS728M03接口库时,开发人员需要遵循其提供的...
在这个"java AOP接口防刷代码"中,我们很可能是找到了一种防止接口被恶意频繁调用的解决方案,这在Web应用中尤其重要,因为接口被刷可能会导致服务器资源耗尽,甚至影响正常用户的服务。 AOP的工作原理是通过动态...
防红短链接,全称“防止被红包钓鱼的短链接”,是一种用于保护用户免受恶意链接攻击的技术。2023年最新发布的这款防红短链接在线生成源码,以其内置接口和无广告的特点,为开发者提供了一个高效且安全的解决方案。 ...
这种方案可以应用于分布式环境下接口调用频次管控和防止恶意IP攻击,保护系统和用户的安全。 四、扩展和优化 在实际应用中,可以根据业务需求进行扩展和优化,例如增加更多的规则和限制,提高防止恶意IP攻击的能力...
【网银最新接口详解】 随着科技的发展,网银服务已经成为我们日常生活中不可或缺的一部分,而网银接口作为连接银行系统与用户的重要桥梁,其安全性、稳定性和便捷性至关重要。"网银最新接口"这一概念,指的是银行...
2. **网络层次模型**:OSI七层模型(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层)和TCP/IP四层模型(网络接口层、网络层、传输层、应用层)用于定义网络通信的各个阶段和功能。 3. **IP地址**:...
SpringBoot 防重放与操作幂等 在日常开发中,我们经常会遇到需要防止重复提交和操作幂等的问题,本文将记录 SpringBoot 实现简单防重放与幂等的方法。 防重放是指防止数据重复提交,例如用户多次点击提交按钮或...
为了对抗这些攻击,锐捷交换机内置了包括防SYN、Smurf攻击、DOS攻击、源IP地址欺骗攻击、检测源地址检查等多种防护措施。其中,BPDU Guard功能防止对生成树协议的攻击,而基于802.1x/RADIUS的身份验证、SSH、源IP...
《kk-anti-reptile开源反...总之,kk-anti-reptile开源反爬虫接口防刷组件 v1.0是一个强大的工具,它提供了多种策略来防御爬虫攻击,保护Web接口的安全。无论是学习还是实际应用,这个组件都值得我们深入研究和使用。
- 3.7 "attackapi.pdf"可能介绍了攻击者如何利用API接口进行XSS攻击,这通常涉及未验证的用户输入和错误的数据处理。 - 6.4 "利用flash进行xss攻击剖析.pdf"可能讨论了Flash技术在XSS攻击中的角色,因为Flash曾经...