验证码工具 是一个解决通用验证码验证安全的问题,例如发送短信验证码、发送邮箱验证码等场景。
为什么要使用此工具?
常规的使用验证码过程中,很容易忽略一个安全性的问题,暴力破解。
例如我们需要做一个短信验证登录的功能,我们需要做哪些操作呢?
- 发送短信前,验证当前号码当前发送短信验证码次数
- 验证当前用户ip,本天发送短信验证码次数
- 发送短信验证码成功后,缓存验证码到内存中(或redis中),用于短信验证码验证
- 最后登录时,验证短信验证码是否匹配
这些都是常规的验证,很容易忽略一个安全问题,那就是如果验证码未过期,验证码进行连续验证失败,系统中没有做任务处理,那么这就导致了暴力破解的安全漏洞(通过不停的尝试验证,试出正确的验证码)。
正确的做法:需要对验证失败做处理,例如验证码最多可使用5次,5次没有验证成功,就清空旧的验证码
功能特性
- 验证码发送时间间隔
- ip当天发送限制
- 当天验证码发送限制
- 验证码过期时间限制
- 验证码验证失败次数限制
引入验证码工具包
1 2 3 4 5
| <dependency> <groupId>com.wueasy</groupId> <artifactId>wueasy-captcha</artifactId> <version>2.0.0</version> </dependency>
|
验证码工具接口
缓存工具包:com.wueasy.base.captcha.util.CaptchaHelper
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
|
public static void save(String key,String captcha,String ip);
public static void check(String key,String captcha);
|
redis连接配置
验证码信息都存在在redis中,需要按照以下配置redis信息,必须配置为captcha
。如下
1 2 3 4 5 6 7 8 9 10 11 12 13
| wueasy : redis: captcha: database : 1 host : 127.0.0.1 port : 6379 password : 123456 pool : maxIdle : 8 minIdle : 0 maxTotal : 2000 maxWaitMillis : 1000 timeout : 3000
|
验证码限制配置
配置验证码发送的限制信息,可以根据业务实际情况进行修改。
1 2 3 4 5 6
| wueasy : captcha: interval: 120 limitIp: 20 limitCaptcha: 5 timeout: 300
|
测试接口
使用junit
测试接口
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
| @RunWith(SpringJUnit4ClassRunner.class) @SpringBootTest(classes=Application.class) public class CaptchaTests {
@Test public void testObj() {
try{
CaptchaHelper.save("13212341234", "123456", "127.0.0.1");
CaptchaHelper.check("13212341234", "123457"); }catch(Exception e) { e.printStackTrace(); }
}
}
|