认证服务登录--验证码防刷、校验

最新推荐文章于 2024-01-09 10:10:31 发布
最新推荐文章于 2024-01-09 10:10:31 发布
阅读量943 收藏 3
点赞数 1
分类专栏: 谷粒商城 单点登录与社交登录 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunli0/article/details/115805170
版权

验证码防刷、校验


单点登录与社交登录

上一讲写到登录 验证吗的获取,这一节叙述下验证码的操作。验证码防刷、校验

一、验证码的操作

1.接口防刷(未实现)

2.验证码的再次校验-存redis(已经实现)

2.1).引入redis依赖

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>

2.2).配置文件配置redis

	#配置redis
	spring.redis.host=192.168.56.10
	spring.redis.port=6379

2.3).验证码关于redis的常量

/**
 * @Description:验证码常量
 **/
public class AuthServerConstant {
    public static final String SMS_CODE_CACHE_PREFIX = "sms:code:";
}

2.4).loginController

在这里插入图片描述

@Controller
public class LoginController {
    @Autowired
    ThirdPartyFeignService thirdPartyFeignService;
    @Autowired
    StringRedisTemplate redisTemplate;

    @GetMapping("/sms/sendcode")
    @ResponseBody
    public R sendcode(@RequestParam("phone") String phone){
        //1.接口防刷
        String redisCode = redisTemplate.opsForValue().get(AuthServerConstant.SMS_CODE_CACHE_PREFIX + phone);
        if (!StringUtils.isEmpty(redisCode)){
            long l=Long.parseLong(redisCode.split("_")[1]);
            if(System.currentTimeMillis()-l<60000){
                //60s内不能再发验证码
                return R.error(BizCodeEnume.SMS_CODE_EXCEPTION.getCode(),BizCodeEnume.SMS_CODE_EXCEPTION.getMsg());
            }
        }

        //2.验证码再次校验。redis。key-phone,value-code。sms:code:13213117432—>1234
//        String code= UUID.randomUUID().toString().substring(0,5)+"_"+System.currentTimeMillis();
        
        String code = UUIDGenrateUtil.getRandom(4);
        String subString = code + "_" + System.currentTimeMillis();
        //redis缓存验证码,防止同一个phone手机,60s内再次发送验证码
        redisTemplate.opsForValue().set(AuthServerConstant.SMS_CODE_CACHE_PREFIX+phone,subString ,10, TimeUnit.MINUTES);

        thirdPartyFeignService.sendCode(phone,code);
        return R.ok();
    }
}

二、注册页面的表单

1.注册表单的操作

1.1).用户数据的封装

在这里插入图片描述

@Data
public class UserRegisterVo {
    @NotEmpty(message = "用户名不能为空")
    @Length(min = 6, max = 19, message="用户名长度在6-18字符")
    private String userName;

    @NotEmpty(message = "密码必须填写")
    @Length(min = 6,max = 18,message = "密码必须是6—18位字符")
    private String password;

    @NotEmpty(message = "手机号不能为空")
    @Pattern(regexp = "^[1]([3-9])[0-9]{9}$", message = "手机号格式不正确")
    private String phone;

    @NotEmpty(message = "验证码不能为空")
    private String code;
}

1.2).注册表单的controller

在这里插入图片描述

 /**
     *  TODO:重定向携带数据,利用session原理。
     *      将数据放入session,只要跳到下一页取出此数据,session的数据被删除
     * RedirectAttributes:模拟重定向携带数据
     * */
    @PostMapping("/regist")
    public String regist(@Valid UserRegisterVo vo, BindingResult result, RedirectAttributes 		  redirectAttributes) {
        if(result.hasErrors()){
//            Map<String, String> map = new HashMap<>();
//            Stream<Map<String, String>> mapStream = 			   result.getFieldErrors().stream().map(fieldError -> {
//                String field = fieldError.getField();
//                String message = fieldError.getDefaultMessage();
//                map.put(field, message);
//                return map;
//            });
            Map<String, String> errors = result.getFieldErrors().stream()
                    .collect(Collectors.toMap(FieldError::getField, FieldError::getDefaultMessage));
//            model.addAttribute("errors",errors);
            redirectAttributes.addFlashAttribute("errors",errors);
            //校验失败,转发发哦注册页面
            return "redirect:http://auth.gulimall.com/reg.html";
        }
        //注册成功,返回登录页面
        return "redirect:/login.html";
    }

1.3).注册表单的页面渲染-

reg.html
在这里插入图片描述

1.4).注册表单的提示信息-reg.html

在这里插入图片描述

  <div class="tips" 
		  style="color:red"
		  th:text="${errors!=null?(#maps.containsKey(errors,'userName')?errors.userName:''):''}">
	 </div>

2.表单数据的验证

2.1).loginController的regist方法–auth项目

在这里插入图片描述

2.2).MemberController-member项目

在这里插入图片描述

2.2.1注册的表单数据封装-MemberRegisterVo-member项目

在这里插入图片描述

2.2.2 验证手机号、用户名数据库是否存在-member项目的MemberServiceImpl

在这里插入图片描述

2.2.3 异常类-member项目

在这里插入图片描述

2.2.4 查询会员等级-member项目

在这里插入图片描述

2.3).MemberServiceImpl-member项目

在这里插入图片描述

2.3.1 验证手机号、用户名数据库是否存在

在这里插入图片描述

2.3.2 查询会员等级

在这里插入图片描述

2.3.3 密码加密–盐值加密

在这里插入图片描述

2.3.4 其他默认配置(TODO)

2.4 密码加密

2.4.1 MD5–可破解

在这里插入图片描述

2.4.2 盐值加密1-需要数据库加入盐值字段(麻烦)

在这里插入图片描述

2.4.3 盐值加密2(**)–安全、可靠

在这里插入图片描述
相同的密码,每次的加密密码不同,因为盐值在加密密码中

    @Test
    public void testPassword() {
        //2.盐值加密
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        //生成加密密码
        String encode = passwordEncoder.encode("123456");
        //验证密码
            //$2a$10$5VJAGi6kEzZkCe0.RJaGdefej6VJWRAo7LNFpA7KOXaMBEWcLd8Bq
            //$2a$10$G3f60GrG3Oc7r.maFdgcJOdPVW6O62gPHQRx7WvObBewaP87vE0wi
        boolean b = passwordEncoder.matches("123456", "$2a$10$G3f60GrG3Oc7r.maFdgcJOdPVW6O62gPHQRx7WvObBewaP87vE0wi");
        System.out.println("加密后密码:" + encode);
        System.out.println("密码是否匹配:" + b);
    }

3.注册完成

3.1. MemberFeignService–auth写member的feign接口

由于UserRegisterVo与MemberRegisterVo使用相同的属性名称,所以可以混合使用(故此处使用UserRegisterVo)

@FeignClient("gulimall-member")
public interface MemberFeignService {
    //注册服务
    @PostMapping("/member/member/regist")
//    public R regist(@RequestBody MemberRegisterVo vo);
    R regist(@RequestBody UserRegisterVo vo);
}

3.2. 调用member的注册功能–auth的loginController

			    @Autowired
			    MemberFeignService memberFeignService;
			    
 			 //todo 验证验证码通过。真正注册,远程调用member实现注册功能 ok
                R r = memberFeignService.regist(vo);
                if (r.getCode() == 0) {
                    System.out.println("注册功能,注册成功");
                    //成功
                    return "redirect:http://auth.gulimall.com/login.html";
                } else {
                    System.out.println("注册功能,注册失败。失败原因:"+r.getData(new TypeReference<String>() {}));
                    Map<String, String> errors = new HashMap<>();
                    errors.put("msg", r.getData(new TypeReference<String>() {
                    }));
                    redirectAttributes.addFlashAttribute("errors", errors);
                    return "redirect:http://auth.gulimall.com/reg.html";
                }

3.3.测试:成功

yunli0
关注
专栏目录
SSO统一身份认证——在原有页面中增加验证码(十九)
CN華少的博客
08-19 351
SSO统一身份认证——在原有页面中增加验证码(十九) 背景 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间...
后台登陆防刷、防爆破以及正常的登录校验
ZzzzjQqqq的博客
05-23 1458
背景 前几天项目上需要对一个正常登陆接口,以及忘记密码的接口进行防爆破处理,这里我用nginx,redis,以及前端的一些简单的图形拖动来做一个简单的安全机制,可能有不完善的地方,大家可以提出来意见。 技术分析 其实一个接口是无法完全避免接口爆破的,区分人和机器或许可以使用谷歌的图片验证机制,但是我们一般简单项目没必要做那么复杂的,只需要确保不正常的访问频率不会爆破出我们的用户信息,以及让我们机器的处理流量保存在可控范围即可。 实现的效果有下面这几点: 验证码只能60s获取一次 并且3小时内只能获取
第一章 [用户服务] 邮箱验证码登录防刷
MisiroYubai的博客
08-20 412
需求:一定时间内禁止重复发送邮件。
注册发送qq邮件获取验证码-存入Redis并做防刷
程序彤的博客
04-12 1225
ershoumall登录,qq邮箱验证码注册功能 思路: 我本人自己的小号25065494xx作为发送方,2439034xx作为接收方,我将收到java服务端生成的6位随机数字。 但与此同时这段数字将保存在本地redis中,为了防止用户频繁发送sendQQCode的Ajax请求,将通过在redis中存入六位数字_当前系统毫秒时间作为判断,若再想发送一个请求那一时刻的时间now-第一次发送的系统时间>60000,才允许方法进一步执行继续随机生成6位数字。 只不过生成的六位随机数存入redis和发送给收件
如何防止刷短信验证码
ldm54466183的博客
02-19 3269
使用redis与前端相结合,实现验证码防刷
接口安全性测试技术(7):CRSF及接口防刷技术
09-02 368
什么是CRSF CSRF(Cross-site request forgery)即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发 出的。 其实可以这么理解CSRF攻击:攻击者盗用了你的身份,.
短信验证码+token唯一机制+防止重刷+幂等性
ss123mlk的博客
05-07 2375
将蓝色标记变成可配置的 怎么做?? 一个文件要是想可配置 就是从配置文件中取 首先当前的函数要和配置文件关联上 你要知道配置文件在哪里 那么需要在函数所在的类上 加下图注解 prefix就是指定在配置文件中以该字符串开头的 配置都是我这个函数使用的 如果这个发送短信的函数要想被别人使用 那所在的类就应该放到容器里 他不是service 不是controller 不是mapper 我们就加component注解 这样谁要引用就autowired 最终形成一个工具类 外部请求后端服务器,去使用发送.
阿里云短信服务 发送短信验证码 区分业务场景
Blake的博客
01-19 1474
总结: 配置好阿里云短信服务API调用所需配置项信息 按业务场景自定义标识码,做到正确发送不同场景的短信验证码 有一点需要特别注意:写这篇文章时,偶然发现阿里云短信服务API,在遇到以数字0开头的随机数验证码时,发送的验证码会忽略数字0,导致验证码长度不匹配。因此,建议在生成随机数验证码时,使用递归思想提前将 以数字0开头的随机数验证码过滤掉! 手动导入依赖的Jar aliyun-java...
防火墙之服务器安全检测和防御技术
weixin_53946822的博客
12-01 1392
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫痪。DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。
认证服务验证码防刷校验与密码加密
qq_44600705的博客
02-28 668
验证码防刷校验 为了避免验证码重复发送,可以引入redis将验证码缓存起来;发送验证码,先去缓存中查,如果有,判断时间,确保60s之后才能再次发送验证码;如果没有,就可以发送; 验证码的再次校验,使用redis将验证码缓存起来,并设置过期时间,如果验证码匹配成功,就立即删除缓存; key->sms:code:15825826017 value->45678_当前时间(System.currentTimeMillis()) 设置认证服务的常量 public class AuthServ
解读APP新一代验证登录方式——一键登录/免密认证
个推技术学院
03-04 4582
近年来,验证领域迎来一个黑科技——用户在APP上进行账号注册或者号码绑定时,不需要接收短信验证码,直接可以以本机号码实现秒级验证。这种新颖且便捷的验证方式称为“一键认证”。 一键认证大幅度地简化了用户注册/登录流程,且提升了账号安全性,逐步成为新一代的主流验证登录方式。什么是一键认证,它的实现条件是什么,又有哪些功能优势呢?接下来,个推君将为大家一一解答。 一、什么是一键认证 一键认证是依托运营...
js动态验证码防刷
beichen3997的博客
03-28 681
<!DOCTYPE html> <html> <head> <meta charset="utf-8"/> <script src=""></script> <style> .drag{ width: 300px; height: 40px; line-height: 40px; ...
接口安全验证及防刷处理方案
最新发布
weixin_49938804的博客
01-09 1668
api接口防篡改和防重复请求
友情链接防刷PV测试代码
dgcufdq6010的博客
09-24 505
没做验证..貌似正确...先记录一下 Code1privatestaticList<string>idList=newList<string>();2privatestaticList<DateTime>timeList=newList<DateTime>();3protect...
防止大量盗刷攻击注册图形验证码+redis缓存接口开发
u011313034的专栏
06-03 304
使用node开发验证码接口
214、商城业务-认证服务-验证码防刷校验
pyd1040201698的博客
09-10 1515
@RequestMapping("/sms") @Controller public class SmsSendController { @Resource SMSComponent smsComponent; @GetMapping("/sendcode") public R sendCode(@RequestParam("phone") String phone, @RequestParam("code") String code) { sms...
验证码安全方式对比
ronon77的专栏
05-09 1021
         目录 0×01. 图形验证码   0×02. 短信验证码 0×03. 语音验证码 0×04. 滑动验证码 0×05. 总结 备注:无论使用哪种验证码,只要开发不当都可能存在安全漏洞,为了减少文章重复内容,只在短信验证码中讲解漏洞以及对应加固方案,在语音验证码中讲解风控预防措施。 0×01 图形验证码 图形验证码是出现最早也是使用最为广泛的验证码没有之一...
用户注册短信验证码(防刷)
qq_43128724的博客
04-06 1712
用户注册短信验证码防刷 1.使用场景 注册验证 信息变更: 修改密码、手机号等个人信息时,确保是用户本人操作,进行短信验证 找回密码 动态登录 2.防刷目的 防止被黑客利用进行短信轰炸,防止浪费短信余额 3.防刷手段 前端图形验证码 前端滑动类 前端点击类 单个手机号请求限制 单个ip请求限制 手机号码真实性限制 4.实战操作 下面介绍一下图形验证码方式 引入依赖 <dependency> <groupId>cn
Web应用登录验证的几种方式
Zero摄氏度的博客
08-25 4944
1、HTTP 是无状态的,为了维持前后请求,需要前端存储标记-----cookie 2、cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石 3、session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题 4、token 是另一种状态管理方案,token 的编码技术,通常基于 base64,或增加加密算法防篡改;jwt 是一种成熟的编码方案,并且JWT实现了无状态登录,相较于传统的有状态登录
java发送QQ邮箱验证码实现登录注册、邮箱验证码防刷校验
suiyishiguang的博客
06-13 2416
java发送QQ邮箱验证码实现登录注册、邮箱验证码防刷校验
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值