前后端分离模式下验证码实现

2020-05-13 17:53:02 1916 收藏 8 原力计划
分类专栏: Java
最后发布:2020-05-13 17:53:02首次发布:2020-05-13 17:53:02
版权声明:本文为博主原创文章,遵循<a href="http://creativecommons.org/licenses/by/4.0/" target="_blank" rel="noopener"> CC 4.0 BY </a>版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/larger5/article/details/106102809
版权

一、前言

验证码,主要用于防刷,特别是注册页面。如果没有防刷机制,攻击者可以通过爬虫等技术,批量注册空虚的用户。

二、正文

前端使用 Vue,并借助 ElementUI 简单美化页面、axios 发送 ajax 请求;
后端使用 SpringBoot,并借助 Kaptcha 生成验证码。

1.思路

①用户进入 web 页面,前端请求后端生成一幅带验证码图片给前端
②后端生成图片的同时,将图片中的正确验证码 rightCode 存到Redis中,key 为用户的ip,value 为正确码,有效时间 几分钟(MySQL 也行,不过不如 Redis 方便高效)
③前端显示后端传来的图片,用户输入请求,将用户的输入码 tryCode 传递给后端;
④后端接受用户的输入码 tryCode,先获取用户的 ip,根据 key = ip,查 value,获取 rightCode,与 tryCode 比对,返回结果。

2.后端核心代码

package com.cun.kaptcha.controller;

import java.awt.image.BufferedImage;
import java.io.ByteArrayOutputStream;
import java.util.concurrent.TimeUnit;

import javax.imageio.ImageIO;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.cun.kaptcha.utils.R;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.google.code.kaptcha.impl.DefaultKaptcha;

@Controller
@RequestMapping("kaptcha")
public class KaptchaController {

    private final Logger logger = LoggerFactory.getLogger(KaptchaController.class);

    /**
     * 验证码工具
     */
    @Autowired
    DefaultKaptcha defaultKaptcha;

    /**
     * redis工具
     */
    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    /**
     * 生成验证码
     *
     * @param httpServletRequest  获取ip
     * @param httpServletResponse 传输图片
     * @throws Exception
     */
    @RequestMapping("/img")
    public void img(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse)
            throws Exception {
        byte[] captchaChallengeAsJpeg = null;
        ByteArrayOutputStream jpegOutputStream = new ByteArrayOutputStream();
        try {
            String createText = defaultKaptcha.createText();
            // 生产验证码字符串并保存到 Redis 中,ip-rightCode,有效期为 1 小时
            String ip = httpServletRequest.getRemoteAddr();
            logger.info("ip:" + ip + ",rightCode = " + createText);
            redisTemplate.opsForValue().set(ip, createText, 1, TimeUnit.HOURS);
            // 使用生产的验证码字符串返回一个BufferedImage对象并转为byte写入到byte数组中
            BufferedImage challenge = defaultKaptcha.createImage(createText);
            ImageIO.write(challenge, "jpg", jpegOutputStream);
        } catch (IllegalArgumentException e) {
            httpServletResponse.sendError(HttpServletResponse.SC_NOT_FOUND);
            return;
        }
        // 定义response输出类型为image/jpeg类型,使用response输出流输出图片的byte数组
        captchaChallengeAsJpeg = jpegOutputStream.toByteArray();
        httpServletResponse.setHeader("Cache-Control", "no-store");
        httpServletResponse.setHeader("Pragma", "no-cache");
        httpServletResponse.setDateHeader("Expires", 0);
        httpServletResponse.setContentType("image/jpeg");
        ServletOutputStream responseOutputStream = httpServletResponse.getOutputStream();
        responseOutputStream.write(captchaChallengeAsJpeg);
        responseOutputStream.flush();
        responseOutputStream.close();
    }

    /**
     * 校对验证码
     *
     * @param httpServletRequest 获取ip
     * @return
     */
    @ResponseBody
    @RequestMapping("/check/{tryCode}")
    public R check(HttpServletRequest httpServletRequest, @PathVariable String tryCode) {
        String ip = httpServletRequest.getRemoteAddr();
        logger.info("ip:" + ip + ",tryCode = " + tryCode);
        // 从 Redis 中校验
        String rightCode = redisTemplate.opsForValue().get(ip);
        if (rightCode != null && rightCode.equals(tryCode)) {
            return R.ok("校验成功", rightCode);
        }
        return R.error("校验失败");
    }
}

全部代码已经上传至 GitHub:https://github.com/larger5/code-server

3.前端核心代码

<template>
    <div id="app">
        <el-form :inline="true">
            <el-form-item>
                <el-image src="http://localhost/kaptcha/img" onclick="this.src='http://localhost/kaptcha/img?d='+new Date()*1"></el-image>
            </el-form-item>
            <el-form-item>
                <el-input v-model="code" style="width: 150px"></el-input>
            </el-form-item>
            <el-form-item>
                <el-button @click="checkCode" type="primary">Check</el-button>
            </el-form-item>
        </el-form>


    </div>
</template>

<script>
    export default {
        data() {
            return {
                code: ""
            }
        },
        methods: {
            async checkCode() {
                const {
                    data: res
                } = await this.$http.get(`http://localhost/kaptcha/check/${this.code}`);
                if (res.code === 200) {
                    this.$notify({
                        title: 'It works!',
                        type: 'success',
                        message: '验证码校验正确',
                        duration: 2000
                    })
                } else {
                    this.$notify({
                        title: 'It do not works!',
                        type: 'error',
                        message: '校验失败',
                        duration: 2000
                    })
                }
            }
        }
    }
</script>

<style>
    #app {
        font-family: Helvetica, sans-serif;
        text-align: center;
    }
</style>

全部代码已经上传至 GitHub:https://github.com/larger5/code-web

4.效果

code

三、结尾

近年来,以往的这一套防刷机制,还是有风险的,比如爬虫可以先把图片爬取下来,通过图片识别API识别出里边 code,再进行操作,依旧是可以通过机器对系统制造垃圾数据。

目前主流防刷机制有手滑、拼图等。

已标记关键词 清除标记
前后分离实现验证码
CtrlTab+的博客
08-13 750
问题: 如何实现前后分离验证码问题
表情包
插入表情
还能输入1000个字符 “速评一下”
前后分离 图片验证码怎么实现
03-24
我请教个问题,一般我们常见的图片验证码如下图,在前后分离的架构上前和后是怎样实现的? 感激不尽![图片说明](https://img-ask.csdn.net/upload/201703/24/1490324333_177613.png)
前后分离的图形验证码的生成与处理(前后代码都有)
weixin_43809055的博客
05-24 1239
我以前做图形验证码的时候都是通过src:路径直接引用,但是在前后分离的情况下不再适合使用了, 百度找的文章要不只有前代码,要不只有后代码,不能连贯的比较,所以写了一篇比较完整的 为什么src加路径不适用了呢,因为需要同时传递一个uuid,所以需要使用ajax,我先说一下流程:首先是应该请求后台,后台在返回图片的同时返回一个uuid,在用户验证图形码的时候,也就是在提交的时候需要把这个uuid带过来,我们才知道是和哪一个验证码比对,之前我使用的方式或多或少有些问题存在,现在是在后台生成map,将图片与u
Spring boot 集成 Kaptcha 实现前后分离验证码功能
二一点
11-22 1万+
简述 在web开发中验证码是一个常见的功能。不论是防止机器人还是爬虫都有一定的作用,我们可以自己编写验证码的工具类,也可以使用比较方便的验证码工具。 本文使用Spring boot 集成 Kaptcha 实现前后分离验证码功能,这里为什么强调前后分离,拿登陆功能为例,在登陆我们要请求后台返回一张验证码图片,然后输入用户名密码加上验证码,再次提交给后台,如果不是前后分离,可轻松的从se
怎么实现web登录界面验证码前后台的比较
06-05
我是个菜鸟,才刚学习C# 做了一个登录界面,但是不知道怎么实现前台和和后台验证码的比较 请高手指点 希望详细点
前后分离验证码处理
金溪的博客
08-14 2086
获取验证码其实不难,后验证: (1)把生成的验证码放在全局的的缓存中,如redis,并设置一个过期时间。 (2)前验证时,需要把验证码的id也带上,供后验证。 ...
前后分离项目的验证码实现(前Vue,后TP)
weixin_47887817的博客
06-07 920
1.TP安装依赖 composer require topthink/think-captcha=2.0.* 2.生成验证码返回给前 //生成验证码 publicfunctiongetCaptcha() { $config=[ //验证码字符集合 'codeSet'=>'0123456789', //验证码字体大小 'fontSize'=>30, //字体 ...
前后分离验证码那些事
xyw10000
10-03 596
今天,测试大兄弟发来消息说线上一直提示验证码错误,测试环境没有这情况。收到问题自然要去排查了,由于代码不是我撸的,只能去看代码怎么实现的了。通过查看代码大致实现就是把验证码的值保存到session中,然后输出一个图片流。按照之前jsp之类的套路好像确实也没啥问题。但是我们做了前后分离,后台也许也会部署多台机器,如果没有做session共享这就凉凉了吧。当然通过spring-sessi...
生成验证码
workhard2的博客
06-27 138
1.功能点实现思路 1)前台思路: (1)前台一个用于输入验证码;一个用于展示验证码。 (2)验证码生成以及展示,点击刷新功能,可以为绑定click事件。 (3)click事件里面写ajax请求,通过后台生成处理好的带噪点的验证码图片。 注意:后台直接返回图片,不是验证码的字符!若返回字符,则验证码就失去了意义(前台很容易就可以获取验证码字符,进行多次恶意访问了)(这点考虑了系统安全性) (4)关于返回的图片如何在标签内展示 直接利用img的src属性,属性值为后台生成验证码的方法请求路径即可。当点击验证码
java前后图形验证码源码
11-16
java前后图形验证码源码,java后验证码源码,前展示,后生成验证吗
前后分离之---图片验证码
偶是一只小小鸟~
02-03 5250
在前后分离的项目中图片验证码怎么获取,以及怎么验证获取验证码其实不难,关键是后怎么验证此验证码?1. 后生成图片验证码,把字节流发送到前伪代码: @RequestMapping(value = "/picture", method =RequestMethod.GET) public ResponseEntity<byte[]> picture(@PathVariable Str
基于前后分离的身份认证方式——JWT
riddle1981的博客
08-05 3万+
目录: 一、什么是JWT 二、我们为什么要使用JWT(与传统的session认证有何区别) 三、如何使用JWT 四、JWT的构成及原理 五、JWT加解密实例一、什么是JWT JWT——Json web token 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,可实现无状态、分布式的Web应用授权。二、我们为什么需要JWT? 首先,当前后分离时我们会因为同源策略
前后分离-根据代码讲解思路
蓝星花
10-21 3463
1.前面写过前后分离相关文章 第一篇-为什么要前后分离 https://blog.csdn.net/m0_37499059/article/details/82082534 第二篇-感受一下前后分离 https://blog.csdn.net/m0_37499059/article/details/82082825 2.根据代码讲解思路 用户登录时,生成一个token,并给toke...
图片验证码+前、后使用
Poor - Because you have no ambition
08-14 910
生成图片验证码 1 获得一个画布 2 实例化一个画笔 3 实例化字体 4 使用画笔 画对应的字符 5 保存验证码图片 6 将生成的四个随机字符 写入session 留着验证用 7 将图片返回给浏览器 获得随机颜色 ~~~ import random 获得随机颜色 def get_random_color(): R = random.randrange(255)...
关于在前验证后生成的验证码
记事本
06-05 1万+
最近试着在前获取后生成的验证码,从而把验证码也做成前验证,出现了如下问题:如图所示,每次页面获取的验证码都是上次一次的,第一次获取为空,查了下资料发现是JSP加载顺序的问题。我后台生成的验证码是放在session中,在页面用EL表达式从session作用域中获取,如果用在JS中获取,如var code = ‘<%=session.getAttribute(“XX”)%>’ 这种也是从sessi
关于前后分离下如何生成图片验证码
guotufu的博客
05-26 8876
前后分离跟传统的JSP动态页面不太一样,前通过调用restful接口获取数据,一般都是JSON格式的数据。我们在登录的时候有时候需要后返回一个图片验证码,直接返回验证码数字肯定是不安全的,使用图片验证码的目的就是让机器人无法盗号暴力破解,提高安全性。这种情况下,可以通过后返回图片字节流来获取图片验证码,具体代码如下:这里要注意的地方是后验证码保存到redis里面,对应的key是一个UU...
关于后验证码验证的问题
09-29
使用的工具类生成验证码图片,生成的验证码是用session存储,比较前传入参数和session来做验证。 session这边做存储的话,多个页面做申请就有冲突,所以打算从request中取一个值来作
Springboot集成Kaptcha实现前后分离验证码功能
苏一念的博客
10-26 4505
1、简介kaptcha     Kaptcha是一个基于SimpleCaptcha的验证码开源项目。 2、实现原理     首先,使用Kaptcha生成一个验证码captcha;     然后,为这个验证码生成一个token,以token为key,captcha为value存在redis中,然后将该token和生成的验证图片传给前;     最后,在用户登录的时候,前将这个token...
JAVA生成图片验证码前后交互
m0_37845840的博客
01-26 5828
本文章框架为spring-boot、freemarker,不过只要属于springMVC模式一样可用 需要加入相关依赖 &lt;dependency&gt; &lt;groupId&gt;javax.servlet&lt;/groupId&gt; &lt;artifactId&gt;javax.servlet-api&lt;/a...
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页