用Redis限制登录地址来提升安全性(redis限定地址登录)

Redis是一款开源的、进程内内存数据库,无论在读写性能、资源占用率和可伸缩性上都有出众的表现,它可以用来操作简单的键值对数据也可以用来构建缓存系统等,极大的丰富了web开发的能力。如果能利用Redis的特性来限制用户的登录地址,结合传统的账号密码登录方式,那么将大大提升用户的账号安全性。

在WEB系统中,存在非法登录者会尝试任何可能的账号密码组合以及不同的IP和登录地址来暴力破解账号,因此要想限制此类恶意攻击,必须对某个IP地址做限制,将用户的登录地址限制于指定的几个地址,则极大的减少了用户被攻击的几率,避免盗号事件的发生。

实现上述功能,首先需要利用Redis的有序集合来存储用户当前与之关联的IP地址,可以将用户名当做键,IP地址当做值来存储(例如:hsert.user.IP.12345: 127.0.0.1),在登录时先去Redis拿取该账号与之关联的IP地址,如果不在白名单中,则不予登录;否则,允许登录,并将新的登录IP添加到Redis中,实现限制多登录地址的功能,可以使用以下的代码完成:

// login
String userId; // 需要登录的账号
String ip; // 需要登录的地址
// Redis Key
String key = "user.IP." + userId;
// IPs for this user
Set ips = jedis.smembers(key);
if( !ips.contns(ip) ) {
// No found in the list, means this IP is not allowed
return false;
}
//Everything OK
return true;
// 则将新的登录IP添加到Redis中
jedis.sadd(key, ip);

使用Redis限制用户登录地址可以极大的提升用户的账号安全性,只有被绑定的地址才能登录,这可以减少恶意机器人破解账号的成功率。之后如果有登录异常发生,可以根据异常登录IP地址来进行必要的安全措施,一步步保障用户账号安全。


数据运维技术 » 用Redis限制登录地址来提升安全性(redis限定地址登录)