java给敏感接口加验证码的核心在于防止恶意请求,主要通过生成图形验证码实现。1. 使用java.awt.image和graphics2d类生成验证码图片,内容可为随机数字、字母或组合,并添加干扰线、噪点提高安全性;2. 将验证码以base64编码返回前端,同时将正确答案存储于session或redis中;3. 前端展示验证码图片并提供输入框和刷新按钮;4. 用户提交请求时后端验证输入与存储的验证码是否一致,验证通过则处理请求,否则返回错误;5. 为防止破解,可提升验证码复杂度、使用滑动验证码、限制尝试次数、采用https传输、定期更换算法;6. 存储方式选择上,session适用于小规模应用,redis适用于分布式环境;7. 前端应在页面加载、用户点击刷新、验证码输入错误或过期时刷新验证码。
用Java给敏感接口加验证码,核心在于防止恶意请求,图形验证码是比较常见且有效的方式。简单来说,就是在用户访问接口前,先生成一个图形验证码,用户输入正确后才能继续访问。
解决方案
生成验证码: 使用Java的java.awt.image和java.awt.Graphics2D等类可以生成图形验证码。 验证码的内容可以是随机数字、字母或数字字母组合。 为了增加破解难度,可以添加干扰线、噪点等。 将生成的验证码图片以Base64编码的形式返回给前端,同时将验证码的正确答案存储在服务器端的Session中(或其他方式,例如Redis)。
立即学习“Java免费学习笔记(深入)”;
import java.awt.*;import java.awt.image.*;import java.util.Random;import java.util.Base64;import java.io.ByteArrayOutputStream;import javax.imageio.ImageIO;public class CaptchaUtil { public static class CaptchaResult { public String base64Image; public String text; } public static CaptchaResult generateCaptchaImage(int width, int height) throws Exception { CaptchaResult result = new CaptchaResult(); Random random = new Random(); // 创建BufferedImage对象 BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB); // 获取Graphics2D对象 Graphics2D g = image.createGraphics(); // 设置背景颜色 g.setColor(Color.WHITE); g.fillRect(0, 0, width, height); // 设置字体 Font font = new Font("Arial", Font.BOLD, 20); g.setFont(font); // 生成随机验证码 String captchaText = generateRandomText(4); // 生成4位随机字符 result.text = captchaText; // 绘制验证码 g.setColor(Color.BLACK); int x = 10; for (int i = 0; i < captchaText.length(); i++) { g.drawString(String.valueOf(captchaText.charAt(i)), x, 25); x += 20; } // 添加干扰线 for (int i = 0; i < 10; i++) { int x1 = random.nextInt(width); int y1 = random.nextInt(height); int x2 = random.nextInt(width); int y2 = random.nextInt(height); g.setColor(getRandomColor()); g.drawLine(x1, y1, x2, y2); } // 添加噪点 float density = 0.03f; // 噪点密度 int numPixels = (int) (width * height * density); for (int i = 0; i < numPixels; i++) { int x1 = random.nextInt(width); int y1 = random.nextInt(height); g.setColor(getRandomColor()); image.setRGB(x1, y1, g.getColor().getRGB()); } g.dispose(); // 将BufferedImage转换为Base64编码 ByteArrayOutputStream baos = new ByteArrayOutputStream(); ImageIO.write(image, "png", baos); byte[] imageBytes = baos.toByteArray(); String base64Image = Base64.getEncoder().encodeToString(imageBytes); result.base64Image = "data:image/png;base64," + base64Image; return result; } private static String generateRandomText(int length) { String characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"; Random random = new Random(); StringBuilder sb = new StringBuilder(length); for (int i = 0; i < length; i++) { sb.append(characters.charAt(random.nextInt(characters.length()))); } return sb.toString(); } private static Color getRandomColor() { Random random = new Random(); return new Color(random.nextInt(256), random.nextInt(256), random.nextInt(256)); } public static void main(String[] args) throws Exception { CaptchaResult result = generateCaptchaImage(100, 40); System.out.println("Base64 Image Data: " + result.base64Image); System.out.println("Captcha Text: " + result.text); }}
前端展示: 前端收到Base64编码的图片数据后,将其设置为src属性。 前端需要提供一个输入框供用户输入验证码,以及一个刷新验证码的按钮。
接口验证: 当用户提交请求时,前端需要将用户输入的验证码和其它参数一起发送到后端。 后端在接收到请求后,首先从Session中取出正确的验证码答案,然后与用户输入的验证码进行比较。 如果验证码正确,则继续处理用户的请求;否则,返回错误提示。
@PostMapping("/sensitiveEndpoint")public ResponseEntity sensitiveEndpoint(@RequestParam String captcha, HttpSession session) { String correctCaptcha = (String) session.getAttribute("captcha"); if (correctCaptcha != null && correctCaptcha.equalsIgnoreCase(captcha)) { // 验证码正确,处理业务逻辑 session.removeAttribute("captcha"); // 验证成功后移除,防止重复使用 return ResponseEntity.ok("操作成功"); } else { // 验证码错误 return ResponseEntity.badRequest().body("验证码错误"); }}@GetMapping("/captcha")public ResponseEntity<Map> getCaptcha(HttpSession session) throws Exception { CaptchaUtil.CaptchaResult captchaResult = CaptchaUtil.generateCaptchaImage(100, 40); session.setAttribute("captcha", captchaResult.text); Map response = new HashMap(); response.put("base64Image", captchaResult.base64Image); return ResponseEntity.ok(response);}
如何防止验证码被恶意破解?
增加验证码的复杂度: 使用更复杂的字体、颜色、干扰线、噪点等。使用滑动验证码或行为验证码: 这些验证码需要用户进行一些特定的操作,例如滑动拼图、拖动滑块等,可以更有效地防止机器人攻击。限制验证码的尝试次数: 如果用户连续多次输入错误的验证码,可以暂时禁止其访问接口。使用HTTPS: 防止验证码在传输过程中被篡改。定期更换验证码的生成算法: 增加破解难度。
验证码存储方式的选择:Session vs. Redis
Session简单易用,但存在一些问题。 例如,在分布式环境下,Session共享是一个需要解决的问题。 Redis是一个高性能的键值存储数据库,可以用来存储验证码。 使用Redis可以解决Session共享的问题,并且可以提供更高的性能。 选择哪种方式取决于具体的应用场景和需求。 如果应用规模较小,可以使用Session。 如果应用规模较大,建议使用Redis。
前端验证码刷新策略:何时刷新?
页面加载时刷新: 确保用户一开始就能看到验证码。用户点击刷新按钮时刷新: 允许用户手动刷新验证码。验证码输入错误时刷新: 提示用户重新输入验证码。验证码过期时刷新: 避免用户使用过期的验证码。
总的来说,添加验证码是一个有效的安全措施,但需要根据具体的应用场景选择合适的验证码类型和存储方式,并采取一些额外的措施来防止验证码被恶意破解。
以上就是如何用Java对敏感接口添加验证码 Java实现图形验证码请求验证的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/128838.html
微信扫一扫 
支付宝扫一扫 
