验证码
1 前言
定义:
全自动区分计算机和人类的公开图灵测试
英语: Completely Automated Public Turing test to tell Computers and Humans Apart
俗称 验证码, 缩写为 Captcha.
首先,需要明白:
验证码是种反人类的存在。但它短时间内不可能退出历史舞台。我们需要尽量优化它,尽量提升用户的体验。
为什么要有验证码呢?
是为了证明网络的那端是一个人而不是一台机器(电脑)。
为什么要区分是人还是机器呢?
原因很多,归根结底,在于做坏事上,机器的效率比人高、成本比人低!
示例,臭名昭著的百度,极其恶心的验证码:
下面是验证码的几种常用场景:
- 账号安全。比如登录窗口,如果不设置验证码,可以使用脚本进行暴力破解。
- 防作弊。比如,12306 的验证码是为了防止机器恶意刷票。
- 反垃圾消息。比如,某些论坛上的验证码,防止机器群发的垃圾广告广告。
下面是几种常见可视化验证码的形式:
- 歪曲的字
- 倒立,点击
- 问答题
- 滑动拼图验证码
- 其他各种五花八门
他们有一个共同点,机器不容易辨认,可人类很容易就能识别。
现在,验证码技术也在不断发展。尤其是基于大数据的智能判断方兴未艾,按下不表。
2 验证码的原理
一个完整的验证逻辑分两步:
- 第一次请求 (获取阶段)
- 服务器生成一个可以比较的对象,比如字符串或数字,并将其保存起来。一般保存到 Session 中。
- 服务器根据上述生成的对象,构造出机器难以辨识的一段数据,比如声音、图片或短信,并发送给用户。
- 数据在客户端展示,用户可以去识别。
- 第二次请求, 携带用户输入的验证信息 (校验阶段)
- 用户将自己的数据,连带辨识出来的验证码数据,一并请求到服务器
- 服务器将之前保存的原始数据,跟用户提交的作比较。如果相同,那么通过,否则不通过。
3 图片验证码
这是一种 最基本的验证方式, 其他所有的验证思路都是跟它一致的。
Java 中,绘制图片,需要用到 awt
包的 BufferedImage
类。
在获取阶段,客户端代码描述为:
<img src="/captcha" title="验证码" />
<input name="captcha" />
服务端的代码描述为:
@WebServlet("/captcha")
class CaptchaServlet {
public 获得验证码的方法 () {
// 1. 获取随机字符串,作为原始验证字符串
String randomString = getRandomString(4);
// 2. 根据字符串,生成机器难以辨认的图片
BufferedImage image = 绘制图片(randomString);
// 3. 原始字符串 -> 保存起来
session.setAttribute("captcha", randomString);
// 4. 绘制的图片 -> 发送给用户
ImageIO.write(image, "PNG", response.getOutputStream());
}
/* 根据字符串绘制图片 */
BufferedImage 绘制图片(String randomString) {
// 1. 创建 Image 对象
BufferedImage image = new BufferedImage(w, h, BufferedImage.TYPE_INT_RGB);
// 2. 获取画笔
Graphics g = image.getGraphics();
// 3. 设置背景色
g.setColor(getRandomColor());
g.fillRect(0, 0, w, h);
// 4. 绘制字符串
g.setColor(getRandomColor());
g.setFont(new Font(xxx, xxx, xxx));
g.drawString();
// 其他一些处理,变形扭曲等
// 5. 画干扰线和干扰点等
g.setColor(getRandomColor());
g.drawLine();
g.drawOval();
// 6. 结束
g.dispose();
return image;
}
}
4 短信验证码
除了上述直接发送给用户浏览器的可视化验证码之外,在注册等场合,我们经常用到短信或邮箱验证。
这主要是为了防止账号被随意注册,从而进行恶意行为(僵尸粉,刷单等),也是奸商获取我们私人信息的重要途径(其实是为了提供更优服务哦~)。
有时候也是为了代替密码,绑定手机用来确保登录的安全性。
小朋友,将你的所有秘密都告诉我,我会给你糖吃~ by 麻云
不管是图片验证码,还是短信、邮箱验证,道理都是一样的,区别在于发送给用户去辨认的数据不同、数据展示方式不同或数据接收媒介不同。
短信验证
也是分为 验证码获取 和 校验 两个阶段! 获取验证码 这一步通常通过 Ajax 实现,并在服务端调用短信接口发送数据,数据不再通过浏览器展现,而是通过手机等其他媒介传递。
短信验证的简单代码描述为:
// 1. 从 request 中得到用户的手机号码
String phone = request.getParameter("phone");
// 2. 得到随机的字符串或数字
String randomNumber = getRandomNumber(4);
// 3. 将得到的原始字符串保存起来
session.setAttribute("captcha", randomNumber);
// 4. 调用短信接口服务,将原始字符串发送给用户
SMSInteface.sendMessage(phone, randomNumber);
至于短信接口服务,有很多。比如阿里大鱼, 它的使用很简单:
// 1. 注册账号,获取 appkey 和 secret
// 2. 申请短信签名,申请短信模板
// 3. 为项目添加 jar 包: "com.aliyun:aliyun-java-sdk-dysmsapi:+"
// 4. 编写程序,发送短信
public void sendMessage(String phone, String randomNumber) {
// 1. 构造 request 对象
AlibabaAliqinFcSmsNumSendRequest req = new AlibabaAliqinFcSmsNumSendRequest();
req.setRecNum(phone); // 发给谁
req.setSmsType("normal"); // 短息类型
req.setSmsFreeSignName("南方IT学院134班"); // 你的签名
req.setSmsTemplateCode("SMS_585014"); // 模板,需要自己在后台设置
req.setSmsParamString("{,\"body\":\"" + randomNumber + "\"}"); // 发送内容,以参数形式传递给模板
// 2. 发送短信,生成 response 对象
TaobaoClient client = new DefaultTaobaoClient("http://gw.api.taobao.com/router/rest", appkey, secret);
AlibabaAliqinFcSmsNumSendResponse resp = client.execute(req);
System.out.println(resp.getBody());
}
就这么简单。
5 邮箱验证码
邮箱验证,需要用到 J2EE 的 Java Mail 标准。
国外的网站,基本都是使用邮箱注册。它很基础很重要。
但道理相通,时间有限,在此略过不提。