Redis解决“重试次数”场景的实现思路

很多地方都要用到重试次数限制，不然就会被暴力破解。比如登录密码。

下面不是完整代码，只是伪代码，提供一个思路。

第一种（先声明，这样写有个bug）

import java.text.MessageFormat;

public class Demo {

    /**

     * 限制次数

     */

    private static final Integer MAX_TIMES = 5;

    /**

     * 锁定时间（也是key的失效时间）

     */

    private static final Integer LIMIT_TIME = 3;

    /**

     * key

     */

    private static final String LIMIT_TIMES_KEY = "LimitTimesKey:%s";

    public void deal(String phone, String password){

        // 用户id

        Long userId = 6815356L;

        // 组装key

        String key = MessageFormat.format(LIMIT_TIMES_KEY, userId);

        // 先获取key对应的value

        String s = redisService.get(key);

        int currentTimes = s != null ? Integer.parseInt(s) : 0;

        // 如果当前次数为[LIMIT_TIMES]次或以上，则抛异常

        if(currentTimes >= MAX_TIMES){

            throw new RuntimeException("请在"+ LIMIT_TIME +"分钟后继续尝试");

        }

        // TODO 做其它逻辑，比如登录操作

        Integer code = userService.login(phone, password);

        // 比如密码不正确的状态码是10086

        if(code == 10086){

            // 失败次数+1

            int thisTimes = currentTimes + 1;

            String value = String.valueOf(thisTimes);

            // 如果小于最大限制

            if(thisTimes < MAX_TIMES){

                redisService.set(key, value);

                throw new RuntimeException("原密码错误，还可以重试"+ (MAX_TIMES - thisTimes) +"次");

            }else{

                redisService.setex(key, LIMIT_TIME*60, value);

                throw new RuntimeException("原密码错误，请在"+ LIMIT_TIME +"分钟后继续尝试");

            }

        }

        // 登陆成功，清理redis

        redisService.del(key);

    }

}

以上代码思路：

Redis解决“重试次数”场景的实现思路-LMLPHP

以上代码有什么问题呢：当失败次数小于最大限制，那里直接set了一个值，没有设置失效时间。如果用户失败了一次就不再尝试了，那么我们设置的key就会永远存在；同时用户在n年后再去登陆，他拥有的重试次数是凌驾于n年前的重试次数之上的，也就是说我今年浪费了1次重试次数，还剩下4次，我明年再重试，我能够重试的次数就不是5而是4了，因为我的重试次数记录一直存在。

import java.text.MessageFormat;

public class Demo {

    /**

     * 限制次数

     */

    private static final Integer MAX_TIMES = 5;

    /**

     * 锁定时间（也是key的失效时间）

     */

    private static final Integer LIMIT_TIME = 3;

    /**

     * key

     */

    private static final String LIMIT_TIMES_KEY = "LimitTimesKey:%s";

    public void deal(String phone, String password){

        // 用户id

        Long userId = 6815356L;

        // 组装key

        String key = MessageFormat.format(LIMIT_TIMES_KEY, userId);

        // 先获取key对应的value

        String s = redisService.get(key);

        int currentTimes = s != null ? Integer.parseInt(s) : 0;

        // 如果当前次数为[LIMIT_TIMES]次或以上，则抛异常

        if(currentTimes >= MAX_TIMES){

            throw new RuntimeException("请在"+ LIMIT_TIME +"分钟后继续尝试");

        }

        // TODO 做其它逻辑，比如登录操作

        Integer code = userService.login(phone, password);

        // 比如密码不正确的状态码是10086

        if(code == 10086){

            // 失败次数+1

            int thisTimes = currentTimes + 1;

            String value = String.valueOf(thisTimes);

            // 设置值，重点是失效时间

            redisService.setex(key, LIMIT_TIME*60, value);

            // 如果小于最大限制

            if(thisTimes < MAX_TIMES){

                throw new RuntimeException("原密码错误，还可以重试"+ (MAX_TIMES - thisTimes) +"次");

            }else{

                throw new RuntimeException("原密码错误，请在"+ LIMIT_TIME +"分钟后继续尝试");

            }

        }

        // 登陆成功，清理redis

        redisService.del(key);

    }

}

改进之后的思路如下：

Redis解决“重试次数”场景的实现思路-LMLPHP