wueasy框架之验证码工具使用

APR 2019-06-02

**验证码工具** 是一个解决通用验证码验证安全的问题，例如发送短信验证码、发送邮箱验证码等场景。

## 为什么要使用此工具？

常规的使用验证码过程中，很容易忽略一个安全性的问题，**暴力破解**。

例如我们需要做一个短信验证登录的功能，我们需要做哪些操作呢？

- 发送短信前，验证当前号码当前发送短信验证码次数
- 验证当前用户ip，本天发送短信验证码次数
- 发送短信验证码成功后，缓存验证码到内存中（或redis中），用于短信验证码验证
- 最后登录时，验证短信验证码是否匹配

这些都是常规的验证，很容易忽略一个安全问题，那就是如果验证码未过期，验证码进行连续验证失败，系统中没有做任务处理，那么这就导致了暴力破解的安全漏洞（通过不停的尝试验证，试出正确的验证码）。

**正确的做法：需要对验证失败做处理，例如验证码最多可使用5次，5次没有验证成功，就清空旧的验证码**

## 功能特性

* 验证码发送时间间隔
* ip当天发送限制
* 当天验证码发送限制
* 验证码过期时间限制
* 验证码验证失败次数限制

## 引入验证码工具包

```xml
<dependency>
	<groupId>com.wueasy</groupId>
	<artifactId>wueasy-captcha</artifactId>
	<version>2.0.0</version>
</dependency>
```

## 验证码工具接口

缓存工具包：`com.wueasy.base.captcha.util.CaptchaHelper`

```java
/**
 * 保存验证码
 * @author: fallsea
 * @param key 手机号码或邮箱，唯一
 * @param captcha 验证码
 * @param ip ip地址码
 */
public static void save(String key,String captcha,String ip);

/**
 * 检查验证码是否有效
 * @author: fallsea
 * @param key 手机号码或邮箱，唯一
 * @param captcha 验证码
 */
public static void check(String key,String captcha);
```

## redis连接配置

验证码信息都存在在redis中，需要按照以下配置redis信息，必须配置为`captcha`。如下

```yaml
wueasy :
  redis: #redis配置
    captcha:
      database : 1 #数据库索引（默认为0）
      host : 127.0.0.1 #服务器地址
      port : 6379 #服务器连接端口
      password : 123456  #服务器连接密码（默认为空）
      pool : #连接池配置
        maxIdle : 8 # 连接池中的最大空闲连接，默认值也是8。
        minIdle : 0 #连接池中的最小空闲连接，默认值也是0。
        maxTotal : 2000 # 如果赋值为-1，则表示不限制；如果pool已经分配了maxActive个jedis实例，则此时pool的状态为exhausted(耗尽)。
        maxWaitMillis : 1000 # 等待可用连接的最大时间，单位毫秒，默认值为-1，表示永不超时。如果超过等待时间，则直接抛出JedisConnectionException
      timeout : 3000 #连接超时时间（毫秒）
```

## 验证码限制配置

配置验证码发送的限制信息，可以根据业务实际情况进行修改。

```yaml
wueasy :
  captcha: #验证码配置
    interval: 120 #验证码发送间隔，默认120秒
    limitIp: 20 #ip当天发送限制，默认20，0 不限制
    limitCaptcha: 5 #当天验证码发送限制，默认5，0 不限制
    timeout: 300 #验证码过期时间，默认300秒
```

## 测试接口

使用`junit`测试接口

```java
@RunWith(SpringJUnit4ClassRunner.class)
@SpringBootTest(classes=Application.class)
public class CaptchaTests {

@Test
    public void testObj()  {

try{

//保存验证码
			CaptchaHelper.save("13212341234", "123456", "127.0.0.1");

//验证验证码
			CaptchaHelper.check("13212341234", "123457");
		}catch(Exception e) {
			e.printStackTrace();
		}

}

}
```