圖形驗證碼設計實現

hatch發表於2018-04-04

驗證碼不是一個功能性的需求，他並不能帶來業務的提升，也不能帶來任何價值。驗證碼只是為了解決機器問題才誕生的。在設計和驗證碼演化的過程中，必須同時考慮安全性和體驗。

設計要點

圖片驗證一次性
超時未驗證失效
支援４位驗證碼，字元以英文和數字組成
支援簡單干擾

儲存選擇

首先我想到了快取。目前比較流行的快取服務是redis。操作速度是傳統關係型資料庫查詢的幾十甚至上百倍，效能上面沒問題。我們知道，驗證碼是有時效的，可以利用他的快取時效性

介面設計

[GET]/captchas 獲取圖片驗證碼 { "signature":"xx", //驗證碼簽名 "payload":"xxxxx" //圖片的base64資料 }

實現

調介面生成一個驗證碼signature，和驗證碼圖片資料

其中驗證碼signature=base64(timestamp:random:sign(timestamp+random+code+secretKey))

其中secretKey是服務端私鑰，在任何場景都不應該流露出去。一旦客戶端得知這個secret，就可以自己生成驗證碼憑證了。
驗證時需帶上驗證碼signature和驗證碼newcode

--拿到signature中timestamp，根據設定的驗證碼有效期判斷驗證碼是否過期

--判斷sign(timestamp+random+code+secretKey）和sign(timestamp+random+newcode+secretKey)是否相等，不相等，可能是簽名被篡改了或者驗證碼輸入錯誤

--判斷該簽名是否已在黑名單中，如果已在黑命名單說明已經被驗證過了

--驗證通過，加入黑名單。即將該signature存入redis,有效期設定為5分鐘（注意此有效期要大於驗證碼的有效期，避免多次驗證）

小結

驗證碼signature生成時參照jwt的思路實現的
生成驗證碼signature，和驗證碼圖片資料時是根據演算法實時生成，只有驗證通過之後才加入黑名單儲存在redis中。相比較於獲取驗證碼時就放入redis儲存並設定有效期而言，可以很好的防止使用者暴力獲取驗證碼而不驗證，大大避免了多餘的儲存。

附錄

生成signature

/**
 * 生成簽名	
 * @param time&emsp;時間戳，單位毫秒
 * @param random&emsp;隨機數
 * @param secretKey&emsp;服務端私鑰
 * @return
 * @throws Exception
 */
public static String signature(long time, String random, String secretKey) throws Exception {

	String signature = String.format("%s:%s:%s", time, random, getSign(time, random, secretKey));

	return Base64Utils.encodeStr(signature.getBytes());
}

public static String getSign(long time, String random, String secretKey) throws Exception{
	StringBuilder sign = new StringBuilder();
	
	sign.append(time);
	sign.append("\n");
	sign.append(random);
	sign.append("\n");
	sign.append(secretKey);
	sign.append("\n");
	
	return EncryptUtil.encryptSHA256(sign.toString());
}
複製程式碼

驗證signature

/**
 * 驗證簽名	
 * @param signature&emsp;待驗證簽名
 * @param random	隨機數
 * @param secretKey&emsp;服務端私鑰
 * @param expire&emsp;過期時間，單位毫秒
 * @return
 */
public static Boolean validateSign(String signature, String random, String secretKey, int expire) {

	String sign = Base64Utils.decodeStr(signature);

	String[] signs = sign.split(":");

	if (signs.length < 3) {
		return false;
	}

	long curTimestamp = System.currentTimeMillis();
	long signTimestamp = Long.valueOf(signs[0]);
	if ((curTimestamp - signTimestamp) > expire) {
		return false;
	}

	if (!random.equals(signs[1])) {
		return false;
	}
	
	String newSign = null;
	try {
		newSign = getSign(Long.valueOf(signs[0]), signs[1], secretKey);
	} catch (Exception e) {
		// TODO:記錄日誌
		return false;
	}

	if (!signs[2].equals(newSign)) {
		return false;
	}

	return true;
}複製程式碼

java圖形驗證碼實現
2021-09-09
Java
Vue.js實現圖形驗證碼
2023-05-06
Vue.js
圖形驗證碼圖片樣式設定
2023-04-21
使用.Net Core實現的一個圖形驗證碼
2020-07-05
Flutter 生成圖形驗證碼
2020-07-23
Flutter
Django之圖形驗證碼
2024-03-28
Django
.Net WebAPI 生成圖形驗證碼
2024-06-26
WebAPI
程式設計師不裝x能行？先給登入來一個圖形驗證碼！（canvas實現）
2019-09-09
程式設計師Canvas
Canvas入門實戰之用javascript物件導向實現一個圖形驗證碼
2019-07-29
CanvasJavaScript物件
python生成隨機圖形驗證碼
2017-09-06
Python隨機
node實現登入圖片驗證碼
2018-04-19
Vue 前端圖形數字驗證碼外掛
2024-10-27
Vue前端
easy-captcha實現驗證碼驗證
2024-07-15
APT
js實現驗證碼倒數計時
2017-06-27
JS
Django實現驗證碼
2018-06-13
Django
java實現驗證碼
2014-04-28
Java
rails實現驗證碼
2007-04-09
AI
Python驗證碼識別：利用pytesser識別簡單圖形驗證碼
2016-03-29
Python
中文彩色驗證碼實現（變形/噪點/點選更換
2008-01-13
分享一個圖片驗證碼功能的實現
2020-10-06
js實現身份證號碼驗證
2015-05-11
JS
推薦一款漂亮的 Java 圖形驗證碼
2023-03-10
Java
C#滑動拼圖驗證碼實現筆記
2023-05-06
C#筆記
Ionic Angular 實現驗證碼倒數計時功能
2017-12-20
Angular
JB的Python之旅-爬蟲篇-圖形驗證碼(3)-- 驗證碼的生成了解下
2018-06-14
Python爬蟲
PHP算式驗證碼和漢字驗證碼的實現方法
2015-03-08
PHP
javascript實現的身份證號碼驗證程式碼
2017-03-20
JavaScript
KgCaptcha驗證碼實現筆記
2023-04-19
GCAPT筆記
短視訊商城系統，通過Java實現圖片驗證碼，點選重新整理圖片驗證碼
2022-07-01
Java
Springboot透過谷歌Kaptcha 元件，生成圖形驗證碼
2023-05-15
Spring Boot谷歌APT元件
分享一款漂亮的 C# .Net 圖形驗證碼
2023-03-10
C#
Node.js生成圖形驗證碼--captchapng/ccap/trek-captcha
2017-11-15
Node.jsAPT
Vue.js 滑動拼圖驗證碼實現筆記
2023-03-31
Vue.js筆記
基於Nuxt.js實現滑動拼圖驗證碼
2023-05-08
UXJS
TP6實現前後端分離的圖片驗證碼，驗證碼以介面形式返回
2024-05-21
後端
Ext實現的身份證格式驗證程式碼
2017-03-16
java實現動態驗證碼原始碼——繪製驗證碼的jsp
2017-05-04
Java原始碼JS
Java實現郵箱驗證碼功能
2021-07-19
Java

圖形驗證碼設計實現

設計要點

儲存選擇

介面設計

實現

小結

附錄

相關文章