在上一次寫的文章中，為大家說到了如何動態的從數據庫加載用戶、角色、權限信息，從而實現登錄驗證及授權。在實際的開發過程中，我們通常會有這樣的一個需求：當用戶多次登錄失敗的時候，我們應該將賬戶鎖定，等待一定的時間之后才能再次進行登錄操作。

一、基礎知識回顧

要實現多次登錄失敗賬戶鎖定的功能，我們需要先回顧一下基礎知識：

建議您先閱讀本文，如果您對本文的實現過程感到迷惑，建議您再翻看本號之前的相關內容。

二、實現多次登錄失敗鎖定的原理

一般來說實現這個需求，我們需要針對每一個用戶記錄登錄失敗的次數nLock和鎖定賬戶的到期時間releaseTime。具體你是把這2個信息存儲在mysql、還是文件中、還是redis中等等，完全取決于你對你所處的應用架構適用性的判斷。具體的實現邏輯無非就是：

這是一種非常典型的實現方式，筆者向大家介紹一款非常有用的開源軟件叫做：ratelimitj。這個軟件的功能主要是為API訪問進行限流，也就是說可以通過制定規則限制API接口的訪問頻率。那恰好登錄驗證接口也是API的一種啊，我們正好也需要限制它在一定的時間內的訪問次數。

三、具體實現

首先需要將ratelimitj通過maven坐標引入到我們的應用里面來。我們使用的是內存存儲的版本，還有redis存儲的版本，大家可以根據自己的應用情況選用。

 <dependency>  <groupId>es.moki.ratelimitj</groupId>  <artifactId>ratelimitj-inmemory</artifactId>  <version>0.4.1</version> </dependency>

之后通過繼承SimpleUrlAuthenticationFailureHandler ，實現onAuthenticationFailure方法。該實現是針對登錄失敗的結果的處理，在我們之前的文章中已經講過。

@Componentpublic class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Autowired UserDetailsManager userDetailsManager; //規則定義：1小時之內5次機會，就觸發限流行為 Set<RequestLimitRule> rules =   Collections.singleton(RequestLimitRule.of(1 * 60, TimeUnit.MINUTES,5));  RequestRateLimiter limiter = new InMemorySlidingWindowRequestRateLimiter(rules); @Override public void onAuthenticationFailure(HttpServletRequest request,     HttpServletResponse response,      AuthenticationException exception)      throws IOException, ServletException {  String userId = //從request或request.getSession中獲取登錄用戶名  //計數器加1，并判斷該用戶是否已經到了觸發了鎖定規則  boolean reachLimit = limiter.overLimitWhenIncremented(userId); if(reachLimit){ //如果觸發了鎖定規則，通過UserDetails告知Spring Security鎖定賬戶  user.setAccountNonLocked(false);  userDetailsManager.updateUser(user);  SysUser user = (SysUser) userDetailsManager.loadUserByUsername(userId); } //此處省略通過response做json或html響應 }}