首页
我们的产品
我们的服务
授权查询
关于我们
博客
联系我们
菜单
wueasy框架之验证码工具使用
首页
博客
内容详情
APR
2019-06-02
**验证码工具** 是一个解决通用验证码验证安全的问题,例如发送短信验证码、发送邮箱验证码等场景。 ## 为什么要使用此工具? 常规的使用验证码过程中,很容易忽略一个安全性的问题,**暴力破解**。 例如我们需要做一个短信验证登录的功能,我们需要做哪些操作呢? - 发送短信前,验证当前号码当前发送短信验证码次数 - 验证当前用户ip,本天发送短信验证码次数 - 发送短信验证码成功后,缓存验证码到内存中(或redis中),用于短信验证码验证 - 最后登录时,验证短信验证码是否匹配 这些都是常规的验证,很容易忽略一个安全问题,那就是如果验证码未过期,验证码进行连续验证失败,系统中没有做任务处理,那么这就导致了暴力破解的安全漏洞(通过不停的尝试验证,试出正确的验证码)。 **正确的做法:需要对验证失败做处理,例如验证码最多可使用5次,5次没有验证成功,就清空旧的验证码** ## 功能特性 * 验证码发送时间间隔 * ip当天发送限制 * 当天验证码发送限制 * 验证码过期时间限制 * 验证码验证失败次数限制 ## 引入验证码工具包 ```xml
com.wueasy
wueasy-captcha
2.0.0
``` ## 验证码工具接口 缓存工具包:`com.wueasy.base.captcha.util.CaptchaHelper` ```java /** * 保存验证码 * @author: fallsea * @param key 手机号码或邮箱,唯一 * @param captcha 验证码 * @param ip ip地址码 */ public static void save(String key,String captcha,String ip); /** * 检查验证码是否有效 * @author: fallsea * @param key 手机号码或邮箱,唯一 * @param captcha 验证码 */ public static void check(String key,String captcha); ``` ## redis连接配置 验证码信息都存在在redis中,需要按照以下配置redis信息,必须配置为`captcha`。如下 ```yaml wueasy : redis: #redis配置 captcha: database : 1 #数据库索引(默认为0) host : 127.0.0.1 #服务器地址 port : 6379 #服务器连接端口 password : 123456 #服务器连接密码(默认为空) pool : #连接池配置 maxIdle : 8 # 连接池中的最大空闲连接,默认值也是8。 minIdle : 0 #连接池中的最小空闲连接,默认值也是0。 maxTotal : 2000 # 如果赋值为-1,则表示不限制;如果pool已经分配了maxActive个jedis实例,则此时pool的状态为exhausted(耗尽)。 maxWaitMillis : 1000 # 等待可用连接的最大时间,单位毫秒,默认值为-1,表示永不超时。如果超过等待时间,则直接抛出JedisConnectionException timeout : 3000 #连接超时时间(毫秒) ``` ## 验证码限制配置 配置验证码发送的限制信息,可以根据业务实际情况进行修改。 ```yaml wueasy : captcha: #验证码配置 interval: 120 #验证码发送间隔,默认120秒 limitIp: 20 #ip当天发送限制,默认20,0 不限制 limitCaptcha: 5 #当天验证码发送限制,默认5,0 不限制 timeout: 300 #验证码过期时间,默认300秒 ``` ## 测试接口 使用`junit`测试接口 ```java @RunWith(SpringJUnit4ClassRunner.class) @SpringBootTest(classes=Application.class) public class CaptchaTests { @Test public void testObj() { try{ //保存验证码 CaptchaHelper.save("13212341234", "123456", "127.0.0.1"); //验证验证码 CaptchaHelper.check("13212341234", "123457"); }catch(Exception e) { e.printStackTrace(); } } } ```