Devise 加上 simple_captcha2做验证码验证

最新推荐文章于 2024-08-16 09:07:27 发布
最新推荐文章于 2024-08-16 09:07:27 发布
阅读量1.5k 收藏 2
点赞数

现在网络上各种扫描器和网络爬虫越来越泛滥,如何让你的网站变得更强壮,以抵御这些不速之客呢?

验证码作为一个简单而又有效的解决方案,很好的将机器人和人类区分开来。呃~~, 当然,未来可能就不一定了。

目前主流的验证码形式有这么几种:

  1. 问答题
  2. 照片验证码
  3. 图片验证码

第一种比较简单直接,它主要的问题是需要存储大量的数据,理论上题库越大越难以破解。这里有一个实现: humanizer,有兴趣的同学可以看看

第二种是利用现实中的照片,人类识别照片很容易,机器人可不容易,日PV巨大的某数字网站就是采用这种做法屏蔽了大量的爬虫,勉强维持着僧多粥少的局面。这类方案最出名的还是 Google 推出的recaptcha 服务recaptcha 就是是基于它的一个实现。

这里我们重点介绍一下第三种实现,它的原理是根据提供的字符组合,生成一张图片,然后验证用户的输入来判断是不是人类。从图形学的角度来说,图片可以做得非常复杂,使得机器识别的难度非常大。典型的实现是 simple_captcha2

环境说明:以下实例基于 ruby 2.1 + rails 3.2.22 + simple_captcha2 0.2.2 + devise 3.1.0

Devise 准备

首先,根据 Devise 的文档,配置好你的项目,确保能够正常注册和登录。

然后从 Devise::SessionsController 继承一个你自己的 SessionController, 如下:

class Users::SessionsController < Devise::SessionsController
  ...
  def create
    super
  end
  ...
end

可以参考:configuring-controllers

接着配置路由如下:

devise_for :users, :controllers => { :sessions => "users/sessions" }

然后运行命令:

rails generate devise:views users

删除 sessions 以外的目录。可以参考 configuring-views

现在你再尝试登录一下,应该没有破坏代码。

SimpleCaptcha2 准备

好了,接下去我们按照 simple_captcha2 的文档安装好依赖的库。

并执行:

rails generate simple_captcha
rails db:migrate

创建好需要的数据库和配置文件。你可以参考官方文档配置验证码的难度及样式等.

Controller Based 验证码

接下来我们面临一个抉择:

浏览 simple_captcha2 的文档,你会发现它提供了两种方式来验证,一种是 Controller Based,一种是 Model Based。 前一种依赖于 session 来存储数据,后一种依赖 Model 来存储数据。

你可以根据你的实际情况来抉择,我这里选择了 Controller Based 做介绍。

第一步,我们先把验证码显示出来:

在 sessions/new.html.erb 合适位置加上:

...
<%= f.input :captcha do %>
  <%= show_simple_captcha %>
<% end -%>
...

我这里是 erb 配合了 simple_form, 你可以根据实际情况调整语法格式。

修改 Users::SessionsController, 加上验证:

class User::SessionsController < Devise::SessionsController
  include SimpleCaptcha::ControllerHelpers
  ...
  def create
    if simple_captcha_valid?
      super
    else
      flash[:alert] = "Captcha code is wrong, try again."
      self.resource = resource_class.new(sign_in_params)
      respond_with_navigational(resource) { render :new }
    end 
  end
  ...
end

OK, 刷新页面,你应该可以看到验证码了。

但是

提交一下试试,啊,不对劲!我相信你也发现了,验证码好像无效,未填写验证码也能通过验证。

这是 Devise 的一个神奇之处,其实它在进入 Sessions#create 已经验证通过了,所以并没有执行验证码的验证代码,具体讨论可以查看这里 Github - plataformatec/devise#2106

我们在 Users::SessionsController 里面加上这句:

skip_before_filter :require_no_authentication, :only => [:create]

现在再试试,应该能够正常使用验证码检查是不是机器人了。

最大失败次数

虽然我们要抵御机器人,但是我们还是希望正常用户直接登录即可,不需要每次都瞪大眼睛输入验证码,这可能会让他们感觉很不爽。

那么,我们做一个限制:尝试登录失败三次,再显示验证码,成功登录则重新计数。

数据存储

那么,问题来了,这个数据存在哪里呢?

这个数据跟用户直接相关,存在 cookie 里面?这样服务器没有压力了。但是机器人不会给你一个保持 Cookie 的,所以这招对机器人就失效了。

好吧,那只能存在服务端,直接存在用户表里面,正好和和用户一一对应;亦或者存在缓存中,使用一个和用户直接相关的 Key。

貌似两种方案都可以,我们且不做抉择,继续往下考虑:

  1. 假如用户失败了几次,然后放弃了,过了很长时间后再次登录,这时候我们需要验证码吗?
  2. 如果某一个机器人一直在尝试用一个不存在的用户名字暴力破解,我们需要验证码吗?

如果你两个回答都是 YES, 那你最好选择缓存来保存这个数据。

计数器

我们希望:

  1. 用户登录失败时把当前用户的计数加 1
  2. 用户登录成功后把计数清零
  3. 在超过一定时间计数自动清零

这里我们将这几个相关的处理放到同一个 class 里面处理, 定义如下 Class:

class UserLoginFailCounter
  include Singleton
  EXPIRED_TIME = 10.minutes
  FAILED_ATTEMPTS = 3

  def increment(login)
    count = current_count(login) + 1
    cache.write(key_for(login), count, expires_in: EXPIRED_TIME)
    count
  end

  def reset(login)
    cache.delete(key_for(login))
  end
  
  def show_captcha?(login)
    current_count(login) >= FAILED_ATTEMPTS
  end

  def current_count(login)
    cache.read(key_for(login)) || 0
  end

  def key_for(login)
    "UserLoginFailCount:#{login}"
  end

  private

  def cache
    Rails.cache
  end

end

另外 Rails 默认的缓存实现不支持过期的功能,这边需要配合 MemoryStore 或者 RedisStore 等缓存实现,具体请参考其它文章。

然后修改 sessions/new.html.erb, 加上 show_captcha? 判断

...
<% if UserLoginFailCounter.instance.show_captcha?(resource.login) -%>
  <%= f.input :captcha do %>
    <%= show_simple_captcha %>
  <% end -%>
<% end -%>
...

修改 Users::SessionsController:

class User::SessionsController < Devise::SessionsController
  ...
  def create
    if verify_captcha?
      super
      UserLoginFailCounter.instance.reset(sign_in_params["login"])
    else
      flash[:alert] = "Captcha code is wrong, try again."
      self.resource = resource_class.new(sign_in_params)
      respond_with_navigational(resource) { render :new }
      UserLoginFailCounter.instance.increment(sign_in_params["login"])
    end 
  end
  ...
  private
  
  def verify_captcha?
    !UserLoginFailCounter.instance.show_captcha?(sign_in_params["login"]) || simple_captcha_valid?
  end
end

看上去 OK 了,如果你也这样觉得,那你就是图样图森破了。

当你打开页面,重复几次失败的登录,满怀期待地期待验证码出现的时候, Duang!!!

请求执行到 super 这一行后离奇地失踪了,后面的代码不执行,也没有异常抛出来,Devise 默默的把事情做完了。好开心,有么有!!

话说回来,要解决这个问题,在 devise.rb 配置文件里面加上:

 Warden::Manager.before_failure do |env, opts|
   user_params = env["action_dispatch.request.request_parameters"]["user"]
   UserLoginFailCounter.instance.increment(user_params["login"]) if user_params.is_a?(Hash) && user_params["login"].present?
 end

现在再去试试吧。

完整代码

sessions#new.html.erb
<% if UserLoginFailCounter.instance.show_captcha?(resource.login) -%>
  <%= f.input :captcha do %>
    <%= show_simple_captcha %>
  <% end -%>
<% end -%>
users/sessions_controller.rb
class Users::SessionsController < Devise::SessionsController
  include SimpleCaptcha::ControllerHelpers
  skip_before_filter :require_no_authentication, :only => [:create]

  def create
    if verify_captcha?
      super
      reset_fail!
    else
      set_captcha_error
      increment_fail!
      response_to_new
    end
  end

  private

  def response_to_new
    self.resource = resource_class.new(sign_in_params)
    respond_with_navigational(resource) { render :new }
  end

  def verify_captcha?
    !UserLoginFailCounter.instance.show_captcha?(sign_in_params[:login]) || simple_captcha_valid?)
  end

  def increment_fail!
    UserLoginFailCounter.instance.increment(sign_in_params[:login])
  end

  def reset_fail!
    UserLoginFailCounter.instance.reset(sign_in_params[:login])
  end

  def set_captcha_error
    flash[:alert] = "Captcha code is wrong, try again."
  end

end
user_login_fail_counter.rb
class UserLoginFailCounter
  include Singleton
  EXPIRED_TIME = 10.minutes
  FAILED_ATTEMPTS = 3

  def increment(login)
    count = current_count(login) + 1
    cache.write(key_for(login), count, expires_in: EXPIRED_TIME)
    count
  end

  def reset(login)
    cache.delete(key_for(login))
  end
  
  def show_captcha?(login)
    current_count(login) >= FAILED_ATTEMPTS
  end

  def current_count(login)
    cache.read(key_for(login)) || 0
  end

  def key_for(login)
    "UserLoginFailCount:#{login}"
  end

  private

  def cache
    Rails.cache
  end
end
devise.rb
Devise.setup do |config|
  Warden::Manager.before_failure do |env, opts|
    user_params = env["action_dispatch.request.request_parameters"]["user"]
    UserLoginFailCounter.instance.increment_fail(user_params["login"]) if user_params.is_a?(Hash) && user_params["login"].present?
  end
end

enjoy!

qwbtc
关注
simple-captcha
05-18
SimpleCaptcha2 SimpleCaptcha(2)是最简单且功能强大的验证码插件。 它的实现需要在视图和控制器/模型中添加一行。 SimpleCaptcha2可以与Rails 3 + 4一起使用。这是流行的Rubygem simple_captcha一个分支,被遗弃了。 ##特征 零FileSystem使用率(将秘密代码移至db-store并删除了图像存储)。 提供各种图像样式。 提供三个级别的图像复杂性。 在分布式环境中绝对可以正常工作(基于会话和数据库的实现在分布式环境中可以正常工作)。 实现就像在视图中只写一行一样容易。 <%= show_simple_captcha %>内的<%= show_simple_captcha %> 。 灵活的DOM和CSS处理(有一个单独的视图部分用于呈现SimpleCaptcha DOM元素)。 自动删除1小时不匹配的s
验证码SimpleCaptcha (二)
hewusheng10的专栏
01-15 1250
http://www.iteye.com/topic/790024 上回说到了简单的使用simpleCaptcha,这次我们这次我们将讲解扩张simpleCaptcha。 回到正题,我们需要一些自定义的验证码,比如验证码的字体大小,背景,颜色等等,默认的验证码是无法满足我们的需求的。所以我们得自己去实现。我这几提供了简单的扩展,如果大家有什么好的建议大家一起来探讨。 自定义过滤器:Simpl
spring3.0自定义servlet请求生成图片
chengjiangbo的专栏
11-06 1434
自定义的验证码,比如验证码的字体大小,背景,颜色等等,默认的验证码是无法满足我们的需求的。所以我们得自己去实现。我这几提供了简单的扩展,如果大家有什么好的建议大家一起来探讨。       自定义过滤器:SimpleCaptchaFilter Java代码   package com.xyj.com.tool.captcha;    import static nl.ca
验证码SimpleCaptcha
weixin_33913377的博客
12-13 136
    想总结一下验证码(开源使用的验证码。当然,也可以自己去实现,不过有成熟的开源项目就用吧)的内容,然后看了几个开源项目,发现SimpleCaptcha使用比较简单,容易入手,就从它开始吧。     接触SimpleCaptcha     1.下载 SimpleCaptcha     2.将下载的JAR包添加到项目中     3.配置Servlet         可使用的Servl...
验证码SimpleCaptcha (一)
孤云博客
08-10 3300
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 from:http://www.iteye.com/topic/790024 在captcha中,两个比较著名的框架验证码有JcaptchasimpleCaptcha,Jcaptcha太庞大了,所以我选...
使用devise_openid_authenticatable的devise_example版本_Ruby_.zip
04-06
openid_authenticatable的devise_example版本_Ruby_"表明这是一个关于Ruby on Rails应用的项目,具体来说,它使用了`devise` gem的一个扩展——`devise_openid_authenticatable`,用于实现OpenID身份验证。...
react-devise-token-auth-sample:使用devise_token_auth进行身份验证的Rails
02-05
这是使用devise_token_auth gem进行身份验证的React on Rails的示例应用程序。 发展历程 $ git clone https://github.com/saitoxu/react-devise-token-auth-sample.git $ cd react-devise-token-auth-sample $ ...
devise_token_auth_demo:这是一个用于为 Rails JSON API 设计令牌身份验证的小型演示应用程序
06-09
这个标题为 "devise_token_auth_demo" 的项目是一个小型演示应用,旨在展示如何在Rails应用中集成令牌身份验证。下面将详细阐述 `devise_token_auth` gem 的核心概念、工作原理以及如何在实际项目中使用它。 `...
RubyonRails6课程作为API,通过devise_token_auth显示身.zip
04-06
本课程聚焦于如何利用Ruby on Rails 6构建一个API,并通过devise_token_auth实现身份验证。下面我们将深入探讨相关知识点。 首先,Ruby on Rails 6是这个项目的基石,它是一个基于Ruby语言的开源Web应用程序框架,...
devise-multi_email::envelope:让devise支持多封电子邮件(可验证,可确认和可验证
02-05
验证多封电子邮件 :multi_email_authenticatable , :multi_email_confirmable和:multi_email_validatable由devise-multi_email提供。 入门 将此行添加到您的应用程序的Gemfile : gem 'devise-multi_email' 假设...
simplecaptcha-1.2.1
12-10
simplecaptcha-1.2.1
simple_captcha:一个用Java制作的简单的验证码图像生成器!
03-25
简单验证码 Java制作的简单验证码图像生成器! 用法示例 import me.brennan.captcha.ImageGenerator ; import javax.imageio.ImageIO ; import java.io.FileOutputStream ; public class Test { public static void main ( String [] args ) throws Exception { var imageGenerator = new ImageGenerator (); var captcha = imageGenerator . generateImage(); System . out . println(captcha . getSolution()); var
SimpleCaptcha:一个简单的验证码机制,易于用户阅读。 没有沮丧。 低使用率也意味着使用相对安全。 进一步的改进将包括随机背景和物品
06-15
简单验证码 一个简单的验证码机制,易于用户阅读。 没有沮丧。 低使用率也意味着使用相对安全。 进一步的改进将包括随机背景和物品。 简单验证码 PHP 作者:Gaetano Bonofiglio - ByteAround.com 需要 GD 库 只需输入一个文本输入,询问三角形的数量(或用于替换 clock.png 的任何图片),然后检查输入是否与$_SESSION['clock_num'] (如果您想使用 PHP)。 只需包含< /> < />表单中的某
simple-captcha2
07-08
#SimpleCaptcha2 SimpleCaptcha(2) 是最简单和强大的验证码插件。 它的实现需要在视图和控制器/模型中添加一行。 SimpleCaptcha2 可以与 Rails 3 + 4 一起使用。这是流行的 Rubygem simple_captcha一个分支,它被废弃了。 ##特征 零文件系统使用(秘密代码移至 db-store 并删除图像存储)。 提供各种图像样式。 提供三个级别的图像复杂度。 在分布式环境中工作得很好(基于会话和数据库的实现在分布式环境中工作得很好)。 实现就像在您的视图中写一行一样简单。 <%= show_simple_captcha %> 'form' 标签内。 灵活的 DOM 和 CSS 处理(有一个单独的视图部分用于呈现 SimpleCaptcha DOM 元素)。 自动删除 1 小时前不匹配的 simple_captcha
SimpleCaptcha验证码
06-24
可以生成各种样式的java验证码,使用非常方便。
安装SimpleCaptcha
li123128的博客
07-05 431
SimpleCaptcha是一个使用简单,基于.Net Standard 2.0的图形验证码模块。它的灵感来源于Edi.Wang的这篇文章https://edi.wang/post/2018/10/13/generate-captcha-code-aspnet-core,我将其中生成验证码的代码抽取出来进行封装得到了这个模块。下面介绍一下使用方式。 基本使用方式 安装SimpleCaptcha 在Nuget中搜索安装SimpleCaptcha 安装缓存模块 SimpleCaptcha依赖Micro
captcha 识别_2Captcha –人为图像和CAPTCHA识别服务
culing2941的博客
09-16 1289
captcha 识别With due technical advancement and increasing demand of software for various tasks (of our individual, personal as well as commercial needs), the authenticity of using these software has bec...
验证码生成插件simple_captcha
Fireflyman的专栏
01-12 286
插件地址:[url]https://github.com/eshopworks/simple_captcha[/url] [b](1)入门篇:[/b] 安装插件--> [code="Ruby"]script/plugin install git://github.com/eshopworks/simple_captcha.git[/code] 执行--> [code="Ruby"...
2captcha-python 项目教程
最新发布
gitblog_00986的博客
08-16 626
2captcha-python 项目教程 2captcha-pythonPython 3 package for easy integration with the API of 2captcha captcha solving service to bypass recaptcha, hcaptcha, funcaptcha, geetest and solve any other captc...
Rails开发者指南:Devise入门与安全实践
Devise是Ruby on Rails框架中广泛使用的身份验证解决方案,它简化了用户认证流程,提供了诸如密码重置、社交登录等实用功能。作者Hafiz、Nia Mutiara和Giovanni Sakti通过深入浅出的方式,带领读者一步步构建安全、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值