验证码模式登录方案设计

目录


一、登录流程设计


二、代码详细设计


1. 获取验证码


1) 表达式型验证码


2) 特殊字符型验证码


3) 中文验证码


2. 登录验证密码和验证码


3. 注销




随着互联网技术的更新迭代,越来越多的应用采用手机验证码的方式登录,更快捷、安全。


现在仍有很多应用采用验证码的模式设计登录系统,不需要手机号注册,也能有效地提升系统的安全性,即使你的账号用户名和密码泄露出去了,但是如果不获取验证码并输入正确验证码的情况下,还是无法进入到系统,也能有效地抵御一些恶意攻击的手段,因为破解验证码相当于多加了一道门槛。


本文就图片验证码登录方式实现详细说明, 其中图片验证码主要有运算表达式型验证码、特殊字符验证码等。


一、登录流程设计


1. 请求进入到系统。


2. 判断该请求是否携带token。前端获取到请求, 如果有token,那么尝试携带token发请求给后端请求用户信息。


3. 判断token是否有效。前端get到用户信息,进入系统,get不到用户信息表示token已经失效,需要进入到重新申请token的流程。


4. 请求验证码。没有token 那么需要进入到生成验证码步骤,进入到登录页面时,前端给后端发一个http请求: http://localhost:8080/picture。


5. 生成验证码。后端接收到请求后,处理请求, 以下三步相当于并列执行:


1) 使用验证码工具类生成验证码表达式,并生成表达式的结果,将表达式以base64的形式返回给前端。


2) 将表达式的结果存入到本地缓存里并设置失效时间,该结果即为前端所填的验证码值,后续为login匹配做准备, 此处可以使用redis缓存。


3) 生成32位uuid返回给前端,同时后端可以记录请求的ID。


6. 验证验证码。前端发起login请求,携带用户名、密码、验证码和uuid(获取验证码时返回的uuid),后端先比较验证码,此处为什么可以先比较验证码?


理由有二:


1) 获取验证码时,给某个请求标记了一个uuid, 通过比较uuid和code能确认唯一用户。


2) 验证码是存在内存里,速度也快,缓存的作用体现出来了,验证码比较通过后再比较用户名和密码。


3) 用户名和密码通过后,返回给前端login成功的status,后端并将token写入到session里,同时需要给token设置失效时间,这样前端就能从cookie里根据key拿到服务器session里的token了。


7. 注销登录。前端发起注销登录请求, 清除当前用户的token缓存信息,后端同时清除掉session, 前端重新发起请求,刷新登录页面的验证码。


用processon 画了一个登录、验证、注销的流程图:



二、代码详细设计


借助开源的图形验证码工具箱easy-captcha,引入pom依赖:


<dependency>
            <groupId>com.github.whvcse</groupId>
            <artifactId>easy-captcha</artifactId>
            <version>1.6.2</version>
</dependency>


1. 获取验证码


1) 表达式型验证码



存入缓存的格式 : key: uuid, value: verCode 。


    @GetMapping("/picture")
    @ResponseBody
    public Response getPicture() {
        ArithmeticCaptcha arithmeticCaptcha = new ArithmeticCaptcha(150, 50);
        // 设置表达式的运算位数
        arithmeticCaptcha .setLen(2);
       // 运算表达式:1+1=?,运算结果存放在.text()方法的返回值里。
        String verCode = arithmeticCaptcha.text().toLowerCase();
        String uuid = UUIDUtil.simpleUUID();
        log.info("当前uuid:{},验证码:{}", uid, verCode);
        // 单位:秒/s
        LFUCache.put(uid, verCode, 60);
        return Response.ok(MapUtilJson.build("uuid", uid).build("image", arithmeticCaptcha .toBase64()));
    }


返回给前端json格式长这样:


{
    "code": "0",
    "msg": "操作成功",
    "data": {
        "uuid": "db9f05fb0a1640c0b2cfe0a58e15308e",
        "image": ""
    },
    "requestId": "92d8bdb5-5609-470f-ac4b-91161954a3f9",
    "success": true
}


2) 特殊字符型验证码



特殊符号验证码采用SpecCaptcha类实现。


SpecCaptcha captcha = new SpecCaptcha(150, 50, 5);


3) 中文验证码


中文验证码还是闪动的,如下的例子其实是3个字母。



 ChineseGifCaptcha captcha = new ChineseGifCaptcha(150, 50, 4);


2. 登录验证密码和验证码


后端定义/login接口,验证验证码、用户名和密码,通过后将用户信息设置到session里, key 为currentUser。


    @PostMapping("/login")
    @ApiOperation(value = "登录")
    public Response login(@Validated @RequestBody LoginDto loginDto) {
        // 比较验证码
        String verCode = LFUCache.get(loginDto.getUuid());
        if (!StrUtil.equalsIgnoreCase(verCode , loginDto.getCaptchaCode())) {
            return Response.er("500", "验证码不正确或已失效!");
        }
        // 比较用户名  
        String pwd= ScecrtUtil.sha256(loginDto.getPassword());
        SysUser sysUser = sysUserService.queryUser(loginDto.getUsername(),pwd);
        if (sysUser == null) {
            return Response.er("501", "用户名或密码不正确");
        }
        // 如果有权限,那么可获取用户权限,并设置到session里。
        return Response.ok(SessionUtil.setUserInfo(sysUser));
    }


session 的id 格式为: "token: login:session: 1: 随机数", 其中1为用户id,生成token的形式采用对 "token: login:session: 1 : 随机整数(10000范围以内的4位数)" 可逆的方式加密, 这样能保证每次登录请求生成的token 是不同的; 当前端从cookie里把token拿出来后,根据当前用户id 去比较session里的token, 如果token 匹配成功,那么能继续后续访问,如果匹配失败,那么需要重新生成token并写入到session和cookie里。


1) session.set("token: login:session: 1: 9999","0ad7ed338e364cbe806e0b0a6ea3d181")


2) cookie.set("token","0ad7ed338e364cbe806e0b0a6ea3d181");


3. 注销


前端会携带token 放在requestHeader里发起注销请求: /logout。请求头为:


token = 0ad7ed338e364cbe806e0b0a6ea3d181


1) 在后端根据cookieName的值'token'来删除cookie即可。


2) 根据 token 的value 解密获取到指定的用户id,然后根据用户id删除掉对应session的value值。


3) 如果token 存缓存里,那么需要从缓存里移除掉。

原文链接:,转发请注明来源!