图形验证码设计实现

最新推荐文章于 2024-05-28 23:35:06 发布
最新推荐文章于 2024-05-28 23:35:06 发布
阅读量1.6k 收藏 5
点赞数 1
文章标签: 数据库 嵌入式
原文链接:https://juejin.im/post/5abb367e6fb9a028cf32840a
版权

验证码不是一个功能性的需求,他并不能带来业务的提升,也不能带来任何价值。验证码只是为了解决机器问题才诞生的。在设计和验证码演化的过程中,必须同时考虑安全性和体验。

设计要点

  • 图片验证一次性
  • 超时未验证失效
  • 支持4位验证码,字符以英文和数字组成
  • 支持简单干扰

存储选择

首先我想到了缓存。目前比较流行的缓存服务是redis。操作速度是传统关系型数据库查询的几十甚至上百倍,性能上面没问题。我们知道,验证码是有时效的,可以利用他的缓存时效性

接口设计

[GET]/captchas 获取图片验证码 { "signature":"xx", //验证码签名 "payload":"xxxxx" //图片的base64数据 }

实现

  • 调接口生成一个验证码signature,和验证码图片数据

    其中验证码signature=base64(timestamp:random:sign(timestamp+random+code+secretKey))

    其中secretKey是服务端私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret,就可以自己生成验证码凭证了。

  • 验证时需带上验证码signature和验证码newcode

    --拿到signature中timestamp,根据设置的验证码有效期判断验证码是否过期

    --判断sign(timestamp+random+code+secretKey)和sign(timestamp+random+newcode+secretKey)是否相等,不相等,可能是签名被篡改了或者验证码输入错误

    --判断该签名是否已在黑名单中,如果已在黑命名单说明已经被验证过了

    --验证通过,加入黑名单。即将该signature存入redis,有效期设置为5分钟(注意此有效期要大于验证码的有效期,避免多次验证)

小结

  • 验证码signature生成时参照jwt的思路实现的
  • 生成验证码signature,和验证码图片数据时是根据算法实时生成,只有验证通过之后才加入黑名单存储在redis中。相比较于获取验证码时就放入redis存储并设置有效期而言,可以很好的防止用户暴力获取验证码而不验证,大大避免了多余的存储。

附录

生成signature

/**
 * 生成签名	
 * @param time 时间戳,单位毫秒
 * @param random 随机数
 * @param secretKey 服务端私钥
 * @return
 * @throws Exception
 */
public static String signature(long time, String random, String secretKey) throws Exception {

	String signature = String.format("%s:%s:%s", time, random, getSign(time, random, secretKey));

	return Base64Utils.encodeStr(signature.getBytes());
}

public static String getSign(long time, String random, String secretKey) throws Exception{
	StringBuilder sign = new StringBuilder();
	
	sign.append(time);
	sign.append("\n");
	sign.append(random);
	sign.append("\n");
	sign.append(secretKey);
	sign.append("\n");
	
	return EncryptUtil.encryptSHA256(sign.toString());
}
复制代码

验证signature

/**
 * 验证签名	
 * @param signature 待验证签名
 * @param random	随机数
 * @param secretKey 服务端私钥
 * @param expire 过期时间,单位毫秒
 * @return
 */
public static Boolean validateSign(String signature, String random, String secretKey, int expire) {

	String sign = Base64Utils.decodeStr(signature);

	String[] signs = sign.split(":");

	if (signs.length < 3) {
		return false;
	}

	long curTimestamp = System.currentTimeMillis();
	long signTimestamp = Long.valueOf(signs[0]);
	if ((curTimestamp - signTimestamp) > expire) {
		return false;
	}

	if (!random.equals(signs[1])) {
		return false;
	}
	
	String newSign = null;
	try {
		newSign = getSign(Long.valueOf(signs[0]), signs[1], secretKey);
	} catch (Exception e) {
		// TODO:记录日志
		return false;
	}

	if (!signs[2].equals(newSign)) {
		return false;
	}

	return true;
}复制代码
weixin_34041003
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
图形验证码的破解与设计
诗剑书生的专栏
03-28 1万+
图形验证码设计目的是利用人脑的不可模拟性来防止机器自动识别.但是一个设计低级的图形验证码(可以被快速破解)除了增加网络流量以外没有任何意义.网上太多的"生成验证码"的教程把重点放在如何生成图片上,而实用性却几乎为零.生成图形本身是零基础技能,任何平台都提供内存图形环境和设备上下文(DC)让你操作,vc中的CDC,java/.NET中的Graphics,都提供比你需要的还要多的绘图API.可以说介绍
SpringSceurity(3)---图形验证码功能实现
Java76476434341的博客
05-28 335
关springSceurity之前有写过两篇文章: 1、SpringSecurity(1)---认证+授权代码实现 2、SpringSecurity(2)---记住我功能实现 这篇我们来讲图形验证码功能实现。 一、思路 我整理下springSceurity整合图形验证码的大致思路: 1、首先对于验证码本身而言,应该有三部分组成 1、存放验证码的背景图片 2、验证码 3、验证码的有效时间。 2、对于springSceurity而言,验证码的执行校验顺序肯定是在UsernamePasswordA
在Javaweb项目中生成图形验证码
最新发布
05-28 433
Web项目中图形验证码的创建
图形验证码功能实现
doudehui的博客
09-18 655
图形验证码目的是用户密码登录或短信码登录时区分用户是计算机还是人进行的操作 两种简单实现:滑动验证码和文字点选 滑动验证码实现逻辑: 获取图片:后台选取背景图,添加水印,根据滑块阴影生成验证图片,缓存验证图片滑块部分坐标,验证图片和滑块图返回前端 校验图片:前端传坐标参数和缓存中坐标进行比较 效果图: 这两种方式需要后台系统支持,更加轻量的实现方式可以参考:https://www.awesomes.cn/subject/5203698 效果图 下载地址:https://gitee.co.
python:设计一个验证码
qq_42282217的博客
08-08 220
要求:默认长度为4,包含数字和字母 首先生成验证码所需的原始字符串 import string def base_code(): return string.digits+string.ascii_letters - 关于怎么生成验证码,总结了以下几种 1.random.choices 这个是python3.6新增的,参数k指定从集群中选取的数 import random def gen_code_by_choices(n=4): return "".join(random.choice
图形验证码成功之后实现用户登录功能.zip
06-04
本项目"图形验证码成功之后实现用户登录功能.zip"着重于构建一个安全的用户登录系统,其中包含了图形验证码的验证环节以及后续的短信验证码发送功能。 首先,我们要理解图形验证码的核心机制。它通常由一串随机生成...
JS制作图形验证码实现代码
11-24
JavaScript图形验证码实现涉及到多个步骤和技术,主要包括前端的交互设计、后端的接口调用以及客户端的验证逻辑。以下是对这些知识点的详细说明: 1. **前端交互**:在前端,用户点击营业执照按钮时,会触发一个...
SpringSecurity实现图形验证码功能实例代码
08-26
在Spring Security框架中,实现图形验证码功能主要是为了增强应用程序的安全性,防止自动化脚本或恶意攻击者通过自动填充表单进行非法操作。图形验证码是一种常用的身份验证机制,它要求用户输入图片中显示的一段...
QT实现滑块图形验证码
10-06
在本主题中,“QT实现滑块图形验证码”涉及到的是使用QT库来设计实现一种安全验证机制,即滑块图形验证码。 滑块图形验证码是一种常见的网页安全验证手段,它通常包含一个被部分遮挡的图像和一个可移动的滑块。...
iOS 图形验证码
06-22
本话题将深入探讨如何在iOS应用中实现自定义的图形验证码功能。 首先,理解图形验证码的基本原理:它通过生成一串随机字符并将其扭曲、变形或添加背景噪声,使人类可以识别但机器难以自动解析。这种机制增加了自动...
验证码实现思路
rv0p111
04-19 1239
验证码实现思路流程 最近学习了下这方面的内容,就简单的理一下思路,这里就拿12306的图片验证码举例子其实大致的实现思路可以是这样子的 去数据库随机抽取八张图片 数据存入session,关于session的解释session 是一个抽象概念,由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是session 生成验证图形,客户端进行对...
SpringBoot实战系列之图形验证码开发并池化Redis6存储
m0_67401660的博客
08-02 558
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。验证码内容的范围(数字,字,中汉字!验证码图的,边框,边框粗细,边框颜。SpringBoot实战系列?作业侠系列最新文章?...
Django验证码之2-图形验证码接口设计和定义(图形验证码接口设计图形验证码接口定义)
yanghao8866的博客
08-20 131
图形验证码接口设计 请求方式 选项 方案 请求方法 GET 请求地址 image_codes/(?P[\w-]+)/ 请求参数:路径参数 参数名 类型 是否必传 说明 uuid string 是 唯一编号 响应结果 图形验证码接口定义 图形验证码视图 class ImageCodeView(View): """图形验证码""" def get(self, request, uuid): """ :param req
如何自己制作一个验证码
知码的世界
03-29 2313
对于很多人来说验证码已经再熟悉不过了,无论是我们在浏览网页时还是在玩网络游戏时验证码都会多多少少的存在,这些验证码的样式几乎没有重复性,这让一些对计算机知识感兴趣的人产生了好奇之心,因此验证码的制作与应用让我们很关心。 那么我们怎么才能制作出一个验证码呢?哪怕制作出来很简单,那也能满足我们的好奇心了。像一些难度非常高的验证码都是经过很多的修改才能完成的,编写者借助一些编程软件才能制作出
图形验证码实现方案(解决短信轰炸问题)
dhmkjv0619的博客
08-16 583
最近收到leader的一个邮件说我们的项目有短信轰炸风险。顿时让一个做技术开发的人为之一颤。今天给大家介绍一个解决这个问题的使用工具。 就是谷歌的 kaptcha 进行验证码生成和校验。闲话少说直接上代码。 1. 首先下载一个工具包 <dependency> <groupId>com.github.axet</groupId...
图形验证码实现
Ezra1991的博客
02-23 1064
接口设计 请求方式:GET 请求地址:image_codes/(?P<uuid>[\w-]+)/ 响应结果:image/jpg (1) 视图 class ImageCodeView(View): """图形验证码""" def get(self, request, uuid): """ :param request...
注册登录(设计图片验证码
空谷余音的博客
10-15 2554
图片验证码实现 (注册、下单、支付均有涉及) 1. 目的: 1) 验证操作者是否是人,不是机器。 2) 防止表单重复提交。每提交要判断验证码的正确与否 生成验证码的要点: 1) 使用java代码生成图片对象 2) 使用Random生成随机字符串 3) 将图片对象用 ImageIO.write(图片对象, “jpeg|png”, 响应字节输出流) 返回给客户端浏览器 验证验证码: 要点: 1)...
使用MATLAB实现数字图形验证码技术解析
"数字图形验证码实现与博客系统mysql数据库" 本文将探讨数字图形验证码实现方法以及其在博客系统中的应用,同时简要介绍博客管理系统及其开发背景和需求分析。 首先,我们关注的是数字图形验证码的生成。这种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值