Java给敏感接口加验证码的核心在于防止恶意请求,主要通过生成图形验证码实现。1. 使用java.awt.image和graphics2d类生成验证码图片,内容可为随机数字、字母或组合,并添加干扰线、噪点提高安全性;2. 将验证码以base64编码返回前端,同时将正确答案存储于Session或redis中;3. 前端展示验证码图片并提供输入框和刷新按钮;4. 用户提交请求时后端验证输入与存储的验证码是否一致,验证通过则处理请求,否则返回错误;5. 为防止破解,可提升验证码复杂度、使用滑动验证码、限制尝试次数、采用https传输、定期更换算法;6. 存储方式选择上,session适用于小规模应用,redis适用于分布式环境;7. 前端应在页面加载、用户点击刷新、验证码输入错误或过期时刷新验证码。
用Java给敏感接口加验证码,核心在于防止恶意请求,图形验证码是比较常见且有效的方式。简单来说,就是在用户访问接口前,先生成一个图形验证码,用户输入正确后才能继续访问。
解决方案
-
生成验证码: 使用Java的java.awt.image和java.awt.Graphics2D等类可以生成图形验证码。 验证码的内容可以是随机数字、字母或数字字母组合。 为了增加破解难度,可以添加干扰线、噪点等。 将生成的验证码图片以Base64编码的形式返回给前端,同时将验证码的正确答案存储在服务器端的Session中(或其他方式,例如Redis)。
立即学习“Java免费学习笔记(深入)”;
import java.awt.*; import java.awt.image.*; import java.util.Random; import java.util.Base64; import java.io.ByteArrayOutputStream; import javax.imageio.ImageIO; public class CaptchaUtil { public static class CaptchaResult { public String base64Image; public String text; } public static CaptchaResult generateCaptchaimage(int width, int height) throws Exception { CaptchaResult result = new CaptchaResult(); Random random = new Random(); // 创建BufferedImage对象 BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB); // 获取Graphics2D对象 Graphics2D g = image.createGraphics(); // 设置背景颜色 g.setColor(Color.WHITE); g.fillRect(0, 0, width, height); // 设置字体 Font font = new Font("Arial", Font.BOLD, 20); g.setFont(font); // 生成随机验证码 String captchaText = generateRandomText(4); // 生成4位随机字符 result.text = captchaText; // 绘制验证码 g.setColor(Color.BLACK); int x = 10; for (int i = 0; i < captchaText.length(); i++) { g.drawString(String.valueOf(captchaText.charAt(i)), x, 25); x += 20; } // 添加干扰线 for (int i = 0; i < 10; i++) { int x1 = random.nextInt(width); int y1 = random.nextInt(height); int x2 = random.nextInt(width); int y2 = random.nextInt(height); g.setColor(getRandomColor()); g.drawLine(x1, y1, x2, y2); } // 添加噪点 float density = 0.03f; // 噪点密度 int numPixels = (int) (width * height * density); for (int i = 0; i < numPixels; i++) { int x1 = random.nextInt(width); int y1 = random.nextInt(height); g.setColor(getRandomColor()); image.setRGB(x1, y1, g.getColor().getRGB()); } g.dispose(); // 将BufferedImage转换为Base64编码 ByteArrayOutputStream baos = new ByteArrayOutputStream(); ImageIO.write(image, "png", baos); byte[] imageBytes = baos.toByteArray(); String base64Image = Base64.getEncoder().encodeToString(imageBytes); result.base64Image = "data:image/png;base64," + base64Image; return result; } private static String generateRandomText(int length) { String characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"; Random random = new Random(); StringBuilder sb = new StringBuilder(length); for (int i = 0; i < length; i++) { sb.append(characters.charAt(random.nextInt(characters.length()))); } return sb.toString(); } private static Color getRandomColor() { Random random = new Random(); return new Color(random.nextInt(256), random.nextInt(256), random.nextInt(256)); } public static void main(String[] args) throws Exception { CaptchaResult result = generateCaptchaImage(100, 40); System.out.println("Base64 Image Data: " + result.base64Image); System.out.println("Captcha Text: " + result.text); } } -
前端展示: 前端收到Base64编码的图片数据后,将其设置为
标签的src属性。 前端需要提供一个输入框供用户输入验证码,以及一个刷新验证码的按钮。
@@##@@ <input type="text" id="captchaInput"> <button onclick="refreshCaptcha()">刷新验证码</button> <script> function refreshCaptcha() { // 发送请求到后端获取新的验证码 fetch('/captcha') .then(response => response.json()) .then(data => { document.getElementById('captchaImage').src = data.base64Image; }); } // 页面加载时刷新验证码 window.onload = refreshCaptcha; </script> -
接口验证: 当用户提交请求时,前端需要将用户输入的验证码和其它参数一起发送到后端。 后端在接收到请求后,首先从Session中取出正确的验证码答案,然后与用户输入的验证码进行比较。 如果验证码正确,则继续处理用户的请求;否则,返回错误提示。
@PostMapping("/sensitiveEndpoint") public ResponseEntity<?> sensitiveEndpoint(@RequestParam String captcha, HttpSession session) { String correctCaptcha = (String) session.getAttribute("captcha"); if (correctCaptcha != null && correctCaptcha.equalsIgnoreCase(captcha)) { // 验证码正确,处理业务逻辑 session.removeAttribute("captcha"); // 验证成功后移除,防止重复使用 return ResponseEntity.ok("操作成功"); } else { // 验证码错误 return ResponseEntity.badRequest().body("验证码错误"); } } @GetMapping("/captcha") public ResponseEntity<Map<String, String>> getCaptcha(HttpSession session) throws Exception { CaptchaUtil.CaptchaResult captchaResult = CaptchaUtil.generateCaptchaImage(100, 40); session.setAttribute("captcha", captchaResult.text); Map<String, String> response = new HashMap<>(); response.put("base64Image", captchaResult.base64Image); return ResponseEntity.ok(response); }
如何防止验证码被恶意破解?
- 增加验证码的复杂度: 使用更复杂的字体、颜色、干扰线、噪点等。
- 使用滑动验证码或行为验证码: 这些验证码需要用户进行一些特定的操作,例如滑动拼图、拖动滑块等,可以更有效地防止机器人攻击。
- 限制验证码的尝试次数: 如果用户连续多次输入错误的验证码,可以暂时禁止其访问接口。
- 使用HTTPS: 防止验证码在传输过程中被篡改。
- 定期更换验证码的生成算法: 增加破解难度。
验证码存储方式的选择:Session vs. Redis
Session简单易用,但存在一些问题。 例如,在分布式环境下,Session共享是一个需要解决的问题。 Redis是一个高性能的键值存储数据库,可以用来存储验证码。 使用Redis可以解决Session共享的问题,并且可以提供更高的性能。 选择哪种方式取决于具体的应用场景和需求。 如果应用规模较小,可以使用Session。 如果应用规模较大,建议使用Redis。
前端验证码刷新策略:何时刷新?
- 页面加载时刷新: 确保用户一开始就能看到验证码。
- 用户点击刷新按钮时刷新: 允许用户手动刷新验证码。
- 验证码输入错误时刷新: 提示用户重新输入验证码。
- 验证码过期时刷新: 避免用户使用过期的验证码。
总的来说,添加验证码是一个有效的安全措施,但需要根据具体的应用场景选择合适的验证码类型和存储方式,并采取一些额外的措施来防止验证码被恶意破解。
