本文将详细梳理一下这个验证码模块在典型 Web 应用中的整个工作流程,从用户打开登录页面到后端验证的全过程。
参与者:
- 用户 (User): 最终与系统交互的人。
- 前端 (Frontend): 用户在浏览器中看到的界面(HTML, CSS, JavaScript)。
- 后端 (Backend): 运行在服务器上的 Go Gin 应用程序。
LoginController(包含Captcha和DoLogin方法)models/captcha.go(包含MakeCaptcha和VerifyCaptcha函数)base64Captcha库
工作流程:
-
用户访问登录页面:
- 用户在浏览器中输入登录页面的 URL,或者点击了指向登录页面的链接。
- 后端(例如
LoginController的Index方法)接收到这个请求,渲染并返回登录页面的 HTML 给浏览器。// controllers/admin/login.go func (con LoginController) Index(c *gin.Context) { c.HTML(http.StatusOK, "admin/login/login.html", gin.H{}) } - 前端浏览器展示登录页面,通常包含用户名输入框、密码输入框、验证码输入框以及一个显示验证码图片的位置。
-
前端请求并显示验证码:
- 时机: 登录页面加载完成后,或者用户点击“刷新验证码”按钮时。
- 前端操作:
- 前端 JavaScript 代码会向后端发送一个 GET 请求到获取验证码的API接口(例如
/admin/captcha,这个路由会指向LoginController的Captcha方法)。 - 这个请求可能是通过 AJAX (Asynchronous JavaScript and XML) 或 Fetch API 发送的,这样可以不刷新整个登录页面就更新验证码。
- 前端 JavaScript 代码会向后端发送一个 GET 请求到获取验证码的API接口(例如
- 后端处理 (
LoginController.Captcha):LoginController.Captcha方法被调用。- 它调用
models.MakeCaptcha()函数。 models.MakeCaptcha()内部:- 配置验证码的参数(如大小、字符集、字体、背景色等)来创建一个
base64Captcha.DriverString实例。 - 将其转换为一个
base64Captcha.Driver接口。 - 创建一个
base64Captcha.NewCaptcha(driver, store)实例,这里的store是base64Captcha.DefaultMemStore(一个全局的内存存储)。 - 调用验证码实例的
c.Generate()方法。 c.Generate()内部 (由base64Captcha库实现):- 生成一个唯一的
captchaId。 - 根据驱动的配置生成验证码的答案 (例如,随机的4个字符)。
- 将这个
captchaId和对应的answer存储到store中 (例如,store.Set(captchaId, answer))。 - 根据驱动的配置和生成的答案,绘制验证码图片。
- 将绘制的图片编码为 Base64 字符串 (
b64s)。 - 返回
captchaId,b64s,answer(虽然在MakeCaptcha中answer被忽略了,但库内部是处理了的) 和error。
- 生成一个唯一的
models.MakeCaptcha()返回captchaId,b64s和error给LoginController.Captcha。
- 配置验证码的参数(如大小、字符集、字体、背景色等)来创建一个
LoginController.Captcha将获取到的captchaId和b64s(图片Base64串) 包装成一个 JSON 对象返回给前端。{ "captchaId": "some_unique_id_string", "captchaImage": "data:image/png;base64,iVBORw0KGgoAAAANS..." // 很长的Base64字符串 }
- 前端接收并显示:
- 前端 JavaScript 接收到这个 JSON 响应。
- 它会将
captchaImage(Base64字符串) 设置为一个<img>标签的src属性,浏览器会自动解码并显示图片。 - 同时,前端会将
captchaId存储起来,通常是放在一个隐藏的<input type="hidden" name="captchaId" value="some_unique_id_string">表单字段中。这样当用户提交表单时,这个ID会一起发送到后端。
-
用户填写表单并提交登录请求:
- 用户在登录页面输入用户名、密码和看到的验证码字符。
- 用户点击“登录”按钮。
- 前端操作:
- 浏览器将表单数据(包括用户名、密码、用户输入的验证码值,以及之前存储的隐藏的
captchaId)通过 HTTP POST 请求发送到后端的登录处理接口(例如/admin/doLogin,这个路由会指向LoginController的DoLogin方法)。
- 浏览器将表单数据(包括用户名、密码、用户输入的验证码值,以及之前存储的隐藏的
- 后端处理 (
LoginController.DoLogin):LoginController.DoLogin方法被调用。- 从POST请求的表单数据中获取
captchaId(隐藏字段的值) 和verifyValue(用户输入的验证码字符)。captchaId := c.PostForm("captchaId") verifyValue := c.PostForm("verifyValue") - 调用
models.VerifyCaptcha(captchaId, verifyValue)函数进行验证。 models.VerifyCaptcha()内部:- 它会调用
store.Verify(captchaId, verifyValue, true)。 store.Verify()内部 (由base64Captcha库的DefaultMemStore实现):- 根据传入的
captchaId从内存存储中查找之前存储的正确答案。 - 如果找到了,就将用户输入的
verifyValue与存储的正确答案进行比较(通常是不区分大小写的比较)。 - 如果
clear参数为true(在这个例子中是true),则无论验证成功与否,都会从存储中删除这个captchaId对应的条目,以防止验证码被重复使用。 - 返回比较结果(
true为匹配,false为不匹配)。
- 根据传入的
models.VerifyCaptcha()将store.Verify()的结果返回给LoginController.DoLogin。
- 它会调用
LoginController.DoLogin根据models.VerifyCaptcha返回的flag(true 或 false) 执行后续操作:- 如果
flag为true(验证码正确):- 目前代码只是返回
"验证码验证成功"。 - 在完整的应用中,接下来会进行用户名和密码的校验。 如果用户名密码也正确,则会创建用户会话(Session),设置Cookie,并重定向到用户后台或返回成功信息。
- 目前代码只是返回
- 如果
flag为false(验证码错误):- 返回
"验证码验证失败"。 - 前端通常会提示用户验证码错误,并可能需要用户重新获取并输入验证码。
- 返回
- 如果
-
后续 (如果验证码正确且用户名密码也正确):
- 用户登录成功,可以访问受保护的资源。
- 会话管理开始生效。
关键点和注意事项:
- 验证码的一次性:
VerifyCaptcha中的clear参数设置为true非常重要,确保了每个验证码只能被尝试验证一次,增加了安全性。 - 存储机制: 当前使用的是内存存储 (
DefaultMemStore)。这意味着如果后端应用重启,所有未验证的验证码都会失效。对于分布式部署或需要更高持久性的场景,可以考虑使用 Redis、数据库等作为store的实现(base64Captcha库支持自定义Store接口)。 - 安全性:
- 验证码本身是为了防止机器人自动提交表单。
- 除了验证码,还应有其他安全措施,如防止暴力破解(限制尝试次数)、HTTPS传输等。
- 前端体验:
- 提供刷新验证码的功能。
- 清晰地显示验证码图片。
- 在验证失败时给出明确的提示。
- 解耦:
LoginController负责处理HTTP请求和响应,models/captcha.go封装了验证码生成和验证的核心逻辑,第三方库base64Captcha提供了底层的验证码实现。这种分层和解耦使得代码更易于维护和测试。
这个流程清晰地展示了从验证码的生成、显示到最终验证的完整闭环。
扫一扫
173
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
