若依框架密码安全实战:手把手教你配置90天强制改密策略(附前后端完整代码)
若依框架企业级密码安全策略全流程实战
在企业级应用开发中,密码安全是系统防护的第一道防线。许多安全事件都源于弱密码或长期未更新的凭证。本文将基于若依(RuoYi)框架,从策略设计到代码落地,构建一套完整的密码安全防护体系。
1. 密码安全策略设计要点
企业级密码安全策略需要平衡安全性与用户体验,通常包含以下几个核心维度:
- 密码修改周期:设置合理的强制修改间隔(如90天)
- 密码强度分级:根据业务敏感程度划分不同强度等级
- 密码历史记录:防止循环使用近期密码
- 异常登录检测:结合登录地点和设备进行风险控制
在若依框架中,我们可以利用sys_config表实现灵活的策略配置。以下是推荐的配置项示例:
| 配置键 | 默认值 | 说明 |
|---|---|---|
| sys.user.pass.interval | 90 | 密码有效期(天) |
| sys.user.pass.strength | 2 | 密码强度等级(1-3) |
| sys.user.pass.history | 5 | 密码历史记录数 |
| sys.user.pass.attempts | 5 | 最大尝试次数 |
提示:建议将这些配置放在系统管理的"参数设置"中,方便管理员动态调整
2. 密码有效期强制修改实现
2.1 后端核心逻辑改造
首先在UserDetailsServiceImpl中增强密码时效检查逻辑:
// 在loadUserByUsername方法中添加时效检查 SysConfig intervalConfig = sysConfigMapper.checkConfigKeyUnique("sys.user.pass.interval"); long intervalDays = Long.parseLong(intervalConfig.getConfigValue()); long intervalMillis = intervalDays * 24 * 60 * 60 * 1000L; if(user.getPassTime() == null || (System.currentTimeMillis() - user.getPassTime().getTime()) > intervalMillis) { user.setConstraint(true); userMapper.updateUser(user); }2.2 前端强制修改流程
在登录页面添加密码修改对话框:
<el-dialog title="安全提示" :visible.sync="showForceChange" :close-on-click-modal="false" :show-close="false"> <el-form> <el-form-item label="新密码" prop="newPassword"> <el-input v-model="form.newPassword" show-password placeholder="请输入符合要求的新密码"/> </el-form-item> </el-form> <div slot="footer"> <el-button @click="handleForceChange">确认修改</el-button> </div> </el-dialog>关键控制逻辑:
// 登录成功后检查constraint标志 getInfo().then(response => { if(response.user.constraint) { this.showForceChange = true; // 禁用页面其他操作 this.$router.beforeEach((to, from, next) => { if(to.path !== '/login') { next(false); } }); } });3. 密码强度分级实现
3.1 密码强度规则设计
我们定义三个强度等级:
- 基础级:至少6位字符
- 标准级:包含大小写字母
- 高级:包含特殊字符和数字
后端校验逻辑:
public boolean checkPasswordStrength(String password, String level) { switch(level) { case "3": // 高级 return password.matches("^(?=.*[A-Z])(?=.*[a-z])(?=.*\\d)(?=.*[^\\w\\s]).{8,}$"); case "2": // 标准级 return password.matches("^(?=.*[A-Z])(?=.*[a-z]).{8,}$"); default: // 基础级 return password.length() >= 6; } }3.2 前端实时强度提示
在密码输入框下方添加强度提示:
<el-progress :percentage="passwordStrength" :color="strengthColor" :show-text="false"/> <span :style="{color: strengthColor}"> {{ strengthText }} </span> <script> export default { computed: { strengthColor() { return ['#f56c6c', '#e6a23c', '#67c23a'][Math.floor(this.passwordStrength/50)] }, strengthText() { return ['弱', '中', '强'][Math.floor(this.passwordStrength/50)] } }, watch: { 'form.newPassword'(val) { // 根据规则计算强度值0-100 this.calculateStrength(val); } } } </script>4. 密码历史记录与审计
4.1 数据库设计
新增密码历史表:
CREATE TABLE sys_password_history ( id BIGINT PRIMARY KEY AUTO_INCREMENT, user_id BIGINT NOT NULL, password VARCHAR(100) NOT NULL, change_time DATETIME NOT NULL, INDEX idx_user (user_id) );4.2 密码修改时的历史检查
public boolean isPasswordUsed(Long userId, String newPassword) { // 获取历史记录配置 SysConfig historyConfig = configMapper.checkConfigKeyUnique("sys.user.pass.history"); int historyCount = Integer.parseInt(historyConfig.getConfigValue()); // 查询最近N次密码 List<SysPasswordHistory> histories = historyMapper.selectRecentPasswords( userId, historyCount); // 检查是否与历史密码重复 return histories.stream().anyMatch( history -> SecurityUtils.matchesPassword(newPassword, history.getPassword())); }4.3 审计日志记录
在密码修改方法中添加日志记录:
@Log(title = "密码修改", businessType = BusinessType.UPDATE) @PutMapping("/updatePwd") public AjaxResult updatePwd(@RequestBody Map<String, Object> params) { // ...修改逻辑... // 记录密码历史 SysPasswordHistory history = new SysPasswordHistory(); history.setUserId(loginUser.getUserId()); history.setPassword(SecurityUtils.encryptPassword(newPassword)); history.setChangeTime(new Date()); historyMapper.insertPasswordHistory(history); // 记录审计日志 AsyncManager.me().execute(AsyncFactory.recordPasswordChange( loginUser.getUsername(), request.getRemoteAddr())); }5. 异常登录检测与防护
5.1 登录设备识别
在登录成功时记录设备信息:
String deviceInfo = request.getHeader("User-Agent"); String location = IpUtils.getCityInfo(request.getRemoteAddr()); // 存入登录日志 SysLogininfor logininfor = new SysLogininfor(); logininfor.setUserName(username); logininfor.setIpaddr(ip); logininfor.setLoginLocation(location); logininfor.setBrowser(deviceInfo); logininfor.setStatus("0"); logininfor.setMsg("登录成功"); logininforService.insertLogininfor(logininfor);5.2 异地登录检测
public boolean checkUnusualLocation(String username, String currentIp) { // 获取最近一次登录IP String lastIp = logininforMapper.selectLastLoginIp(username); if(StringUtils.isEmpty(lastIp)) { return false; } // 比较IP地理位置 String lastLocation = IpUtils.getCityInfo(lastIp); String currentLocation = IpUtils.getCityInfo(currentIp); return !lastLocation.equals(currentLocation); }5.3 登录失败限制
在登录失败时进行计数和限制:
// 登录失败计数器 AtomicInteger retryCount = loginRetryCache.get(username); if(retryCount == null) { retryCount = new AtomicInteger(0); loginRetryCache.put(username, retryCount); } // 超过最大尝试次数 if(retryCount.incrementAndGet() >= maxAttempts) { userService.lockAccount(username); return AjaxResult.error("账户已锁定,请联系管理员"); }6. 系统集成与测试要点
6.1 整体流程验证
测试时应覆盖以下场景:
- 密码过期强制修改流程
- 密码强度规则校验
- 历史密码重复检查
- 异常登录检测与处理
6.2 性能考虑
对于高频登录系统,建议:
- 对密码历史查询添加缓存
- 异步记录审计日志
- 使用Redis存储登录尝试计数
6.3 安全加固建议
- 密码传输使用HTTPS加密
- 密码存储使用强哈希算法(如BCrypt)
- 定期审计密码策略有效性
- 关键操作需要二次认证
在若依框架中实现这套密码安全体系后,系统将具备企业级的安全防护能力。实际部署时,建议根据具体业务需求调整各策略参数,并在上线前进行充分的安全测试。