前后端分离模式下验证码实现

2020-05-13 17:53:02 2320 收藏 8 原力计划
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/larger5/article/details/106102809
版权

一、前言

验证码,主要用于防刷,特别是注册页面。如果没有防刷机制,攻击者可以通过爬虫等技术,批量注册空虚的用户。

二、正文

前端使用 Vue,并借助 ElementUI 简单美化页面、axios 发送 ajax 请求;
后端使用 SpringBoot,并借助 Kaptcha 生成验证码。

1.思路

①用户进入 web 页面,前端请求后端生成一幅带验证码图片给前端
②后端生成图片的同时,将图片中的正确验证码 rightCode 存到Redis中,key 为用户的ip,value 为正确码,有效时间 几分钟(MySQL 也行,不过不如 Redis 方便高效)
③前端显示后端传来的图片,用户输入请求,将用户的输入码 tryCode 传递给后端;
④后端接受用户的输入码 tryCode,先获取用户的 ip,根据 key = ip,查 value,获取 rightCode,与 tryCode 比对,返回结果。

2.后端核心代码

package com.cun.kaptcha.controller;

import java.awt.image.BufferedImage;
import java.io.ByteArrayOutputStream;
import java.util.concurrent.TimeUnit;

import javax.imageio.ImageIO;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.cun.kaptcha.utils.R;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.google.code.kaptcha.impl.DefaultKaptcha;

@Controller
@RequestMapping("kaptcha")
public class KaptchaController {

    private final Logger logger = LoggerFactory.getLogger(KaptchaController.class);

    /**
     * 验证码工具
     */
    @Autowired
    DefaultKaptcha defaultKaptcha;

    /**
     * redis工具
     */
    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    /**
     * 生成验证码
     *
     * @param httpServletRequest  获取ip
     * @param httpServletResponse 传输图片
     * @throws Exception
     */
    @RequestMapping("/img")
    public void img(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse)
            throws Exception {
        byte[] captchaChallengeAsJpeg = null;
        ByteArrayOutputStream jpegOutputStream = new ByteArrayOutputStream();
        try {
            String createText = defaultKaptcha.createText();
            // 生产验证码字符串并保存到 Redis 中,ip-rightCode,有效期为 1 小时
            String ip = httpServletRequest.getRemoteAddr();
            logger.info("ip:" + ip + ",rightCode = " + createText);
            redisTemplate.opsForValue().set(ip, createText, 1, TimeUnit.HOURS);
            // 使用生产的验证码字符串返回一个BufferedImage对象并转为byte写入到byte数组中
            BufferedImage challenge = defaultKaptcha.createImage(createText);
            ImageIO.write(challenge, "jpg", jpegOutputStream);
        } catch (IllegalArgumentException e) {
            httpServletResponse.sendError(HttpServletResponse.SC_NOT_FOUND);
            return;
        }
        // 定义response输出类型为image/jpeg类型,使用response输出流输出图片的byte数组
        captchaChallengeAsJpeg = jpegOutputStream.toByteArray();
        httpServletResponse.setHeader("Cache-Control", "no-store");
        httpServletResponse.setHeader("Pragma", "no-cache");
        httpServletResponse.setDateHeader("Expires", 0);
        httpServletResponse.setContentType("image/jpeg");
        ServletOutputStream responseOutputStream = httpServletResponse.getOutputStream();
        responseOutputStream.write(captchaChallengeAsJpeg);
        responseOutputStream.flush();
        responseOutputStream.close();
    }

    /**
     * 校对验证码
     *
     * @param httpServletRequest 获取ip
     * @return
     */
    @ResponseBody
    @RequestMapping("/check/{tryCode}")
    public R check(HttpServletRequest httpServletRequest, @PathVariable String tryCode) {
        String ip = httpServletRequest.getRemoteAddr();
        logger.info("ip:" + ip + ",tryCode = " + tryCode);
        // 从 Redis 中校验
        String rightCode = redisTemplate.opsForValue().get(ip);
        if (rightCode != null && rightCode.equals(tryCode)) {
            return R.ok("校验成功", rightCode);
        }
        return R.error("校验失败");
    }
}

全部代码已经上传至 GitHub:https://github.com/larger5/code-server

3.前端核心代码

<template>
    <div id="app">
        <el-form :inline="true">
            <el-form-item>
                <el-image src="http://localhost/kaptcha/img" onclick="this.src='http://localhost/kaptcha/img?d='+new Date()*1"></el-image>
            </el-form-item>
            <el-form-item>
                <el-input v-model="code" style="width: 150px"></el-input>
            </el-form-item>
            <el-form-item>
                <el-button @click="checkCode" type="primary">Check</el-button>
            </el-form-item>
        </el-form>


    </div>
</template>

<script>
    export default {
        data() {
            return {
                code: ""
            }
        },
        methods: {
            async checkCode() {
                const {
                    data: res
                } = await this.$http.get(`http://localhost/kaptcha/check/${this.code}`);
                if (res.code === 200) {
                    this.$notify({
                        title: 'It works!',
                        type: 'success',
                        message: '验证码校验正确',
                        duration: 2000
                    })
                } else {
                    this.$notify({
                        title: 'It do not works!',
                        type: 'error',
                        message: '校验失败',
                        duration: 2000
                    })
                }
            }
        }
    }
</script>

<style>
    #app {
        font-family: Helvetica, sans-serif;
        text-align: center;
    }
</style>

全部代码已经上传至 GitHub:https://github.com/larger5/code-web

4.效果

code

三、结尾

近年来,以往的这一套防刷机制,还是有风险的,比如爬虫可以先把图片爬取下来,通过图片识别API识别出里边 code,再进行操作,依旧是可以通过机器对系统制造垃圾数据。

目前主流防刷机制有手滑、拼图等。

已标记关键词 清除标记
VUE开发旅游攻略移动,零基础到实战,短信验证码,登录,注册
06-19
<p> <span style="color:#333333;"><span style="font-size:16px;"><strong>【课程介绍】</strong></span></span> </p> <p> <span style="color:#333333;"><span style="font-size:16px;">课程目标:从零基础到学会实战开发vue项目</span><br /> <span style="font-size:16px;">适用人群:会基础HTML,CSS,JS</span><br /> <span style="font-size:16px;">接口后台:python</span><br /> <span style="font-size:16px;">课程特色:提供项目接口,用python开发,提供短信验证码接口,接口和文档永久有效,学生的项目上线后可直接访问,可当做面试作品和大学生毕业设计</span></span><span style="color:#333333;"> </span><span style="font-size:16px;"></span> </p> <p> <span style="font-size:16px;"><br /> </span> </p> <p> <span style="font-size:16px;"><strong>【课程收益】</strong></span> </p> <p> <span style="font-size:16px;">1.从零基础掌握vue开发</span> </p> <p> <span style="font-size:16px;">2.掌握vue组件思维<br /> </span> </p> <p> <span style="font-size:16px;">3.了解什么是前后分离开发</span> </p> <p> <span style="font-size:16px;">4.学会请求数据</span> </p> <p> <span style="font-size:16px;">5.学会vue高级功能使用</span> </p> <p> <span style="font-size:16px;">6.做出一个完整的上线项目</span> </p> <p> <span style="font-size:16px;">7.课程可当做大学生毕业设计</span> </p> <p> <span style="font-size:16px;">8.课程可当做面试作品</span> </p>
表情包
插入表情
还能输入1000个字符
相关推荐
关于前后分离下如何生成图片验证码
guotufu的博客
05-26 9172
前后分离跟传统的JSP动态页面不太一样,前通过调用restful接口获取数据,一般都是JSON格式的数据。我们在登录的时候有时候需要后返回一个图片验证码,直接返回验证码数字肯定是不安全的,使用图片验证码的目的就是让机器人无法盗号暴力破解,提高安全性。这种情况下,可以通过后返回图片字节流来获取图片验证码,具体代码如下:这里要注意的地方是后验证码保存到redis里面,对应的key是一个UU...
SpringBoot前后分离登陆验证码实现以及不显示问题
楠の晴天的博客
09-20 1599
最近在做一个项目,就是先完成登陆的一个验证码简单验证,一开始使用了js前完成,但是项目不允许,我去!很纳闷前生成验证码,进行验证也能完成功能呀,并且很简单,只要一个插件几行代码的事情,非要后使用session验证,尴尬了,显示用前完成的代码先上。 纯前完成验证码的生成和获取: <canvas width="240" height="90" id="captcha2">&l...
vue+springboot实现登录验证码(前后分离
pp1981002445的博客
12-10 686
vue+springboot实现登录验证码(前后分离) 前言 要实现验证码功能需要明白: 前:通过img标签获得图片 后:首先根据前请求生成图片,然后前再次处理前的登录请求 一、流程 1.验证码生成工具类 此工具类用于生成验证码图片 package com.pp.educational_management_system.config; import javax.imageio.ImageIO; import java.awt.*; import java.awt.image.Buffered
前后分离情况下的图片验证码验证问题
jiahao791869610的博客
01-26 2万+
目录 目录 验证码实现验证码的刷新 前后分离情况下的ajax跨域以及session传递问题 验证码实现 验证码工具类 package common; import java.awt.*; import java.awt.image.BufferedImage; import java.util.Random; public class Verifi
前后分离实现验证码
CtrlTab+的博客
08-13 1064
问题: 如何实现前后分离验证码问题
前后分离验证码实现方案
A9541170的博客
12-02 328
前后分离验证码实现方案 前每次加载验证码,都是一个请求,后台生成一个随机的uuid 将uuid作为key,正确验证码作为value存到redis中 前vue每次拿到响应的uuid都刷新uuid属性 当用户提交登录请求时带上这个uuid和登录信息 后台拿到uuid,取出redis中uuid对应验证码与登录验证码对比并响应 ...
Spring boot 集成 Kaptcha 实现前后分离验证码功能
二一点
11-22 1万+
简述 在web开发中验证码是一个常见的功能。不论是防止机器人还是爬虫都有一定的作用,我们可以自己编写验证码的工具类,也可以使用比较方便的验证码工具。 本文使用Spring boot 集成 Kaptcha 实现前后分离验证码功能,这里为什么强调前后分离,拿登陆功能为例,在登陆我们要请求后台返回一张验证码图片,然后输入用户名密码加上验证码,再次提交给后台,如果不是前后分离,可轻松的从se
前后分离图片验证码实现
执着的博客
11-13 510
首先我们要明白一个问题,传统session方式很简单,就是在生成图片的时候把验证码保存到session里面就行了,然后再把图片响应给前,验证的时候客户会带上sessionId和验证码,这样就直接拿到保存在session里面的图片验证码,然后比较就行,前后的话由于状态是分离的,不能使用session保存验证码信息 作者在这里想到一种实现办法,主要就说首先我们先生成一个随机的key然后把图片转成base64的方式,在生成的过程中吧key和验证码code保存在redis上面,然后把图片和key一起响应给前
beego框架图形验证码实现
03-22
基于Golang实现的图片验证码生成库,可以实现随机字母个数,随机直线,随机噪点等。可以设置任意多字体,每个验证码随机选一种字体展示。
基于前后分离验证码设计
qq_38089964的博客
06-25 7576
现在的web项目基本都是前后分离的,后台只需要整理数据传给前进行渲染就行。 验证码也是web中不可缺少的一部分,再以前的前后分离的场景中,一般是把图片以io流的方式传给前,同时把内容存到session中,在前请求验证的时候就根据request取出验证码的内容进行比对验证。但是前后分离之后,尤其是跨域之后,每一次请求session将会对应不上,也就无法取出验证码的内容值进行验证啦。 ...
前后分离验证码方案
人称王老板
04-23 3199
前后分离验证码解决方案::: 逻辑是这样: 前后分离 登录验证码 方案 后生成图片 验证码字符串 uuid uuid为key 验证码字符串为value 传递bs64图片 和uuid给前在登录的时候 传递 账号 密码 验证码 uuid 通过uuid获取 验证码 验证 <!-- 验证码生成包--> <depende...
前后分离使用SpringBoot集成Kaptcha实现验证码功能
baidu_33969289的博客
02-16 2397
验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码...
前后分离验证码实现方案
weixin_34082695的博客
01-13 2462
为什么80%的码农都做不了架构师?>>> ...
java前后分离怎么生成图形验证码
qq_35137375的博客
01-19 1283
1.maven中引入commons-codec.jar <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.9</version> </depend...
前后分离的图形验证码的生成与处理(前后代码都有)
weixin_43809055的博客
05-24 1631
我以前做图形验证码的时候都是通过src:路径直接引用,但是在前后分离的情况下不再适合使用了, 百度找的文章要不只有前代码,要不只有后代码,不能连贯的比较,所以写了一篇比较完整的 为什么src加路径不适用了呢,因为需要同时传递一个uuid,所以需要使用ajax,我先说一下流程:首先是应该请求后台,后台在返回图片的同时返回一个uuid,在用户验证图形码的时候,也就是在提交的时候需要把这个uuid带过来,我们才知道是和哪一个验证码比对,之前我使用的方式或多或少有些问题存在,现在是在后台生成map,将图片与u
前后分离验证码处理
金溪的博客
08-14 2228
获取验证码其实不难,后验证: (1)把生成的验证码放在全局的的缓存中,如redis,并设置一个过期时间。 (2)前验证时,需要把验证码的id也带上,供后验证。 ...
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页