golang gin base64Captcha生成验证码后通过redis存储 以及安全验证思路

最新推荐文章于 2024-09-24 08:56:00 发布
原创 最新推荐文章于 2024-09-24 08:56:00 发布 · 1.6k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

  在学习过程中,我遇到了一个场景:用户使用邮箱进行登录注册,此时需要向对应邮箱发送验证码。之后用户输入验证码后,我们需要对验证码进行校验。这里我选择使用第三方包base64Captcha生成验证码,并且使用redis作为验证码池进行存储,代码如下:

  1.创建一个redis验证码池,确保你已经配置了redis环境,这里必须实现以下base64Captcha中的Store接口

type Store interface {
	// Set sets the digits for the captcha id.
    //验证码存入验证码池的方法,id为键,验证码为值
	Set(id string, value string) error

	// Get returns stored digits for the captcha id. Clear indicates
	// whether the captcha must be deleted from the store.
    //获取验证码的方法
	Get(id string, clear bool) string

	//Verify captcha's answer directly
    //校验验证码的方法
	Verify(id, answer string, clear bool) bool
}

  对这个接口的实现方法如下



//自定义一个验证码池
//以redis作为验证码池

var ctx = context.Background()

const CAPTCHA = "captcha:"

type RedisStore struct {
}

// Set sets the digits for the captcha id.
func (r RedisStore) Set(id string, value string) error {
	key := CAPTCHA + id
	err := global.RedisDb.Set(ctx, key, value, time.Minute*2).Err()
	if err != nil {
		log.Println(err.Error())
	}
	return err
}

// Get returns stored digits for the captcha id. Clear indicates
// whether the captcha must be deleted from the store.
func (r RedisStore) Get(id string, clear bool) string {
	key := CAPTCHA + id
	val, err := global.RedisDb.Get(ctx, key).Result()
	if err != nil {
		fmt.Println(err)
		return ""
	}
	if clear {
		err := global.RedisDb.Del(ctx, key).Err()
		if err != nil {
			fmt.Println(err)
			return ""
		}
	}
	return val
}

// Verify captcha's answer directly
func (r RedisStore) Verify(id, answer string, clear bool) bool {
	v := RedisStore{}.Get(id, clear)
	//fmt.Println("key:"+id+";value:"+v+";answer:"+answer)
	return v == answer
}

  2.创建一个用于发送验证码到邮箱的utils工具(具体的邮箱配置忽略)

package utils

import (
	"context"
	"fmt"
	"github.com/jordan-wright/email"
	"github.com/mojocn/base64Captcha"
	"net/smtp"
)

// 发送邮箱验证码
func SendEmailValidate(em []string, myType int) (string, error) {
	e := email.NewEmail()
	e.From = fmt.Sprintf("发件人邮箱")
	e.To = em
	// 生成6位随机验证码
	driver := base64Captcha.NewDriverDigit(80, 240, 5, 0.7, 80)

    //这里在生成验证码对象时,就使用了redis作为验证码池
	cp := base64Captcha.NewCaptcha(driver, cache.RedisStore{})

	id, _, anwser, err := cp.Generate()
	fmt.Println("id", id)
	fmt.Println("anwser", anwser)
	if err != nil {
		fmt.Println("err")
		return "", err
	}
	ems := em[0]

	//为id添加验证码类型,1为注册,2为登录
	if myType == 1 {
		id = fmt.Sprintf("%s&amp%s", id, "emailtoregister")
	} else if myType == 2 {
		id = fmt.Sprintf("%s&amp%s", id, "emailtologin")
	} else {
		id = fmt.Sprintf("%s&amp%s", id, "emailtoforgetpassword")
	}
	cmd := global.RedisDb.Set(context.Background(), ems, id, 2*time.Minute)
	if cmd.Err() != nil {
		log.Fatal(cmd.Err())
		return "", cmd.Err()
	}
	//设置文件发送的内容
	content := fmt.Sprintf(`
	<div>
		<div>
			您好!
		</div>
		<div style="padding: 8px 40px 8px 50px;">
			<p>您提交的邮箱验证,本次验证码为<u><strong>%s</strong></u>,为了保证账号安全,验证码有效期为5分钟。请确认为本人操作,切勿向他人泄露,感谢您的理解与使用。</p>
		</div>
		<div>
			<p>此邮箱为系统邮箱,请勿回复。</p>
		</div>
	</div>
	`, anwser)
	e.Text = []byte(content)
	//设置服务器相关的配置
	err = e.Send("smtp.qq.com:25", smtp.PlainAuth("", "发件人邮箱", "发件人的密钥", "smtp.qq.com"))
	fmt.Println("to", e.To)
	return anwser, err
}

  3.gin框架发送验证码的路由

// 发送注册验证码
func GetValidateCode(c *gin.Context) {
	// 获取目的邮箱
	ems := c.Param("email")
	temp := strings.Split(ems, "@")
	if len(temp) < 2 {
		c.JSON(http.StatusBadRequest, gin.H{
			"msg":  "请输入正确邮箱",
			"code": 400,
			"data": nil,
		})
		return
	}
	em := []string{ems}

	fmt.Println(ems)
	fmt.Println(em)

	//发送验证码,并将验证码id和email存入redis
	_, err := utils.SendEmailValidate(em, 1)
	if err != nil {
		log.Println(err)
		c.JSON(http.StatusBadRequest, gin.H{
			"status":           400,
			"msg":              "验证码发送失败",
			"ERROR-CONTROLLER": err.Error(),
		})
		return
	}

	c.JSON(http.StatusOK, gin.H{
		"msg":    "验证码发送成功",
		"status": 200,
	})
	return
}

  代码部分到此结束,接下来我要讲解以下验证码的校验思路,来看两个问题:

    1.假定,现在恶意攻击者准备用别人的邮箱以爆破的方式登入别人的账号时,如果我们只是简单的对验证码做存储和校验会遇到什么问题呢?

            1)验证码池冗余:可以预见的一个问题是,如果攻击者不断向我们的后端发起请求验证码的请求,即便我们设置了过期时间,但是在大量请求的情况下验证码池还是会冗余大量的验证码。而在我们底层,只有base64Captcha自动生成的id和验证码做绑定。即便id的生成是随机的,但这也无疑增加了爆破成功的概率。

                  为了解决这个问题,我们可以在id为键,存贮验证码的基础上再加一层,即邮箱为键,绑定id。这样一来,无论请求方如何请求我们的验证码,因为邮箱是不变的,且对于id来说是唯一的的,所以每次请求都会把上一次存储的id覆盖,也就意味着上一次请求的验证码是无效的。

            2)验证码越权:第二个问题,在上述问题中,我们使用了邮箱和id进行绑定。但是依旧存在问题,假设现在,一个用户在邮箱注册处获得了一个验证码,结果他用这个验证码去进行登录。这在业务上极其不合理,但是按照底层逻辑来说这是能实现的。因为邮箱是不变的,无论登录和注册,我获取验证码都是通过这一个邮箱号。

                    为了解决这个问题,我选择的方法是:在原生的id后拼接标识符,以达到标识这个验证码对应的是哪一个接口的目的。也即id + 分隔符 + 标识符。这样一来,我只要通过分隔符切分,取到数组的最后一个,再在对应路由中,判断这个验证码是否为对应功能即可。具体验证方法如下:

// ValidateEmailCode
// @Title ValidateEmailCode
// @Description  验证邮箱验证码,并注册用户。
// @Author hyy 2022-03-05 18:19:18
// @Param c type description
func ValidateEmailCode(c *gin.Context) {

	//检验邮箱是否合法
	var user forms.CreateUserByEmail

	err := c.ShouldBindJSON(&user)
	fmt.Println(user)
	if err != nil {
		log.Println(err.Error())
		c.JSON(http.StatusBadRequest, gin.H{
			"status":           400,
			"msg":              "注册失败,json解析失败",
			"ERROR-CONTROLLER": err.Error(),
		})
		return
	}
	myEmail := user.Email
	// 默认用户权限为2
	if user.RoleId == 0 {
		user.RoleId = 3
	}



	// 通过邮箱获取在redis中绑定的id
	id, err := global.RedisDb.Get(context.Background(), myEmail).Result()


    //分隔符切分
	myResp := strings.Split(id, "&amp")


	if len(myResp) < 2 {
		c.JSON(http.StatusInternalServerError, gin.H{
			"msg":  "验证码失效",
			"code": 500,
			"data": nil,
		})
		return
	}


    //判断接口是否对应
	if myResp[1] != "emailtoregister" {
		c.JSON(http.StatusBadRequest, gin.H{
			"msg":  "验证码失效",
			"data": nil,
			"code": 400,
		})
		return
	}



	id = myResp[0]
	if err != nil {
		log.Println(err.Error())
		c.JSON(http.StatusBadRequest, gin.H{
			"status":           400,
			"msg":              "Redis获取vCode失败",
			"ERROR-CONTROLLER": err.Error(),
		})
		return
	}

go语言web开发系列之十八:gin框架用base64Captcha生成图形验证码
刘老师的技术森林
01-14 5107
一,安装库 1,库的地址 https://github.com/mojocn/base64Captcha 2,安装: liuhongdi@ku:~$ go get -u github.com/mojocn/base64Captcha 说明:刘宏缔的go森林是一个专注golang的博客, 地址:https://blog.csdn.net/weixin_43881017 说明:作者:刘宏缔 邮箱: 371125307@qq.com 二,演示项目的相关信息 1,地址: ...
go 集成base64Captcha 支持多种验证码
最新发布
不积跬步,无以至千里;不积小流,无以成江海。
05-16 670
base64Captcha是一个基于 Go 语言开发的验证码生成库,主要用于在 Web 应用中集成验证码功能,以增强系统的安全性.验证码类型丰富:支持生成多种类型的验证码,包括纯数字、纯字母、数字与字母组合、数学公式、汉字、音频等,满足不同场景的需求。
go写图片验证码功能
m0_70208894的博客
03-07 645
我们在注册或者登录页面等需要实现验证码功能,以此来验证不是机器人在操作验证码的图片是由一个Base64 编码格式的字段,此字段返回给前端,前端可以根据网站得到图片话不多说,现在就开始说怎么能够创建处二维码。
Gin 中使用 base64Captcha 生成图形验证码分布式架构-redis方案
m0_70556273的博客
09-16 988
本文章向大家介绍Gin 中使用 base64Captcha 生成图形验证码分布式架构-redis方案,主要包括Gin 中使用 base64Captcha 生成图形验证码分布式架构-redis方案使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
[golang gin框架] 12.Gin 商城项目-base64Captcha生成图形验证码以及分布式架构中配置Captcha
zhoupenghui168的博客
04-03 3505
base64Captcha生成图形验证码以及分布式架构中配置Captcha
【Go】十四、图形验证码、短信验证码、注册接口与redis的简单使用
weixin_41365204的博客
06-18 1133
如何嵌入图形验证码工作:这里选择使用captcha 开源库进行验证码设计:选用下面的地址进行验证码开发工作。
菜鸟手撸基于gin的jwt+reids登录
Kiven_super
10-11 727
菜鸟手撸基于gin的jwt+reids登录 var store = base64Captcha.DefaultMemStore // @Tags Auth // @Summary 用户登录 // @accept json // @Produce json // @Param data body sys_model.RegisterAndLoginStruct true "用户登录接口" // @Success 200 {string} string "{"success":true,"data":{},
go gin consul服务发现 redis mysql(微服务)
zgdl1789的博客
08-28 451
包的引入: import ( "github.com/gin-gonic/gin" "github.com/hashicorp/consul/api" "github.com/micro/go-micro/v2" "github.com/micro/go-micro/v2/logger" "github.com/micro/go-plugins/registry/consul/v2" "github.com/gomodule/redigo/redis" "github.com/jin
AJ-Captcha-Go验证码服务资源合集
AJ-Captcha-Go资源是一套专注于验证码生成与验证的开源解决方案,结合了Go语言的高性能后端处理能力与多平台前端适配能力,旨在为开发者提供一种高效、安全、可扩展的验证码系统。该资源支持多种主流开发框架和技术...
gin框架下使用base64Captcha生成图片验证码
x17的博客
09-24 461
【代码】gin框架下使用base64Captcha生成验证码
golang包快速生成base64验证码的方法
09-17
主要介绍了golang包快速生成base64验证码的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
base64Captcha:base64和多样性的验证码
05-14
灵活多样的验证码程序包 Base64captcha支持任何unicode字符,可以轻松自定义以支持Math Chinese Korean Japanese Russian Arabic等。 1。 :open_book: :open_book: :open_book: Doc&Demo 2。 :rocket: :rocket: :rocket: 快速开始 2.1 :clapper_board: :clapper_board: :clapper_board: 使用历史记录版本 go get github.com/mojocn/base64Captcha@v1.2.2 或将go.mod文件编辑为 github.com/mojocn/base64Captcha@v1.2.2 2.2 :inbox_tray: :inbox_tray: :inbox_tray: 下载包 go get -u github.com/mojocn/base64Captcha 对于来自中国大陆且没有VPN的Gopher, go get golang.org/x/image失败解决方案:
Go-Golang验证码生成
08-13
支持数字,数字,字母,算术,音频和数字字母验证码
Gin 中使用 base64Captcha 生成图形验证码
肥茹的博客
02-13 1025
验证码库 https://github.com/mojocn/base64Captcha 中文文档 Go进阶37:重构我的base64Captcha图形验证码项目 | 🐶❤️🦀 在models文件夹中写一个验证码的文件,Captcha.go package models import ( "github.com/mojocn/base64Captcha" "image/color" ) // 设置自带的 store 存在服务器内存中 var store = base64Captch
Golang:使用Base64Captcha生成数字字母验证码实现安全校验
彭世瑜的博客
05-30 1749
Base64Captcha可以在服务端生成验证码,以base64的格式返回为了能看到生成base64验证码图片,我们借助gin下面,通过一个小实例,来展示Base64Captcha的基本使用。
Gin实现图片验证码
全栈开发工程师,不定期分享Python、Golang、Java、前端等程序员必备技术,干货满满,不断充电!
07-12 719
Golang语言Gin框架实现登录图片验证码模块
gin框架生成和验证图像验证码
m0_63512120的博客
11-25 936
这里使用Go语言的一个包 base64Captcha生成和验证图像验证码。使用base64Captcha包,可以方便地生成验证码,并在服务器端进行验证。它提供了一些配置选项,如验证码的长度、宽度、高度、字体样式、噪点等,以及验证结果的检查。base64Captcha 包的一些主要功能:1.生成图像验证码:可以生成包含随机字符或数字的图像验证码。2.Base64编码:将验证码图像以Base64编码的形式返回,方便嵌入到HTML页面或通过API返回给客户端。
使用 Gin 框架实现谷歌动态验证码登录
sillyyijia的博客
08-05 697
动态验证码(通常称为 TOTP,即 Time-based One-Time Password)是一种基于时间的一次性密码技术,用于增强用户身份验证的安全性。TOTP 是二步验证(2FA)的一种形式,广泛用于保护用户账户免受未经授权访问。动态验证码(TOTP)是一个强大的工具,用于提升应用程序的安全性。通过结合时间和密钥,它提供了一种有效的方式来防止未经授权的访问。使用Gin和,你可以轻松实现这种机制,保护你的用户账户安全。在博客中,你可以展示这些步骤,并强调动态验证码在现代身份验证中的重要性和优势。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值