验证码(笔记)
为什么要有验证码:
-
为什么验证码这么让人厌烦,每个网站还要使用它呢?换句话说,这些网站为什么要“故意为难”用户呢?
-
其实验证码主要是为了区分用户是计算机还是人。假设一个黑客知道了你的账号,根据账号可以挨个尝试不同的密码进行登录,直到登录成功,就等于破解了你的密码。如果由人类来重复这个过程,那肯定是非常耗费精力和体力的。但是如果是由程序来重复这个过程,那么破解密码就简单多了。
-
为了防止黑客暴力破解密码,我们可以要求用户在登录时回答验证码的问题。这些问题一般非常简单,但是对于计算机来说就很困难了(需要专门的破解验证码程序)。我们可以认为能回答出问题的用户就是人类。当然除了防止暴力破解密码,还可以防止黄牛党刷票、论坛灌水等。
如何实现验证码功能:
第一步:在pom.xml文件中添加Happy Captcha项目的依赖。
<dependency><groupId>com.ramostear</groupId><artifactId>Happy-Captcha</artifactId><version>1.0.1</version>
</dependency>第二步:实现生成验证码的请求处理。
因为请求生成验证码不需要登录(否则用户就需要先登录才能获取验证码,而没有验证码又不能登录……),所以我们把这个请求放到AppController里。代码如下:
@RestController
@RequestMapping("/app/api")
public class AppController {@GetMapping("/hello")public String hello() {return "app公开请求";}@GetMapping("/captcha")public void getCaptcha(HttpServletRequest request, HttpServletResponse response) {HappyCaptcha.require(request, response)// 表示生成中文算法类型的验证码.type(CaptchaType.ARITHMETIC_ZH).build().finish();}
}第三步:登录页添加验证码显示、输入、刷新的功能。
<label for="captcha">验证码</label>
<input type="text" id="captcha" name="captcha" placeholder="点击图片刷新" autocomplete="off"/>
<img id="captchaImg" src="/app/api/captcha" alt="验证码" onclick="refreshCaptchaImg()"/> <br />
<script type="application/javascript">/** 点击验证码图片时刷新验证码*/function refreshCaptchaImg() {document.getElementById('captchaImg').setAttribute('src', '/app/api/captcha?ts=' + Math.random());}
</script>第四步:实现登录时的验证码校验逻辑。
但是应该在哪个地方实现这个逻辑呢?
如果你对Servlet稍有了解,那么你应该知道Filter可以对客户端的每个请求进行拦截,如果校验通过就传递给下一个Filter,否则就直接返回。直到所有Filter都校验通过之后,客户请求才会到达我们定义的Controller。因此我们可以自定义一个Filter实现,然后插入到这个拦截链中,以此来执行验证码的校验。Spring Security拦截登录请求,执行登录处理的机制也是这样插入的,类名是UsernamePasswordAuthenticationFilter。一般都是先校验验证码,再校验用户名和密码,因此我们可以把自定义的Filter(类名定义为CaptchaFilter)插入到UsernamePasswordAuthenticationFilter的前面。配置方式是在SecurityConfig.configure(HttpSecurity http)方法中添加最后两行代码:
http// 配置要控制的http URL.authorizeRequests()// 对于静态文件和页面不拦截。.antMatchers("/css/**", "/index").permitAll()// /user/下的请求只有拥有USER角色的用户才能访问.antMatchers("/user/**").hasRole("USER")// USER角色的用户可以访问/user/api/下的资源.antMatchers("/user/api/**").hasRole("USER")// ADMIN角色的用户可以访问/admin/api/下的资源.antMatchers("/admin/api/**").hasRole("ADMIN")// /app/api/下的资源不做控制.antMatchers("/app/api/**").permitAll()// 回到HttpSecurity.and()// 设置通过表单进行登录认证.formLogin()// 登录页名称(即login.html),登录页不需要权限控制.loginPage("/login")// 登录校验地址,点击登录按钮时会跳转到该地址.loginProcessingUrl("/loginUrl")// 登录错误页地址.failureUrl("/login-error").and()// 添加验证码校验过滤器.addFilterBefore(new CaptchaFilter(), UsernamePasswordAuthenticationFilter.class);CaptchaFilter的代码如下,它继承了OncePerRequestFilter,可以保证每个请求只执行一次这个Filter。
public class CaptchaFilter extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {// 非登录请求,不需要校验验证码if (!"/loginUrl".equals(request.getRequestURI())) {// 传递给过滤器链上的下一个FilterfilterChain.doFilter(request, response);return;}// 获取用户输入的验证码String captchaCode = request.getParameter("captcha");boolean verification = HappyCaptcha.verification(request, captchaCode, true);// 验证后清除验证码HappyCaptcha.remove(request);if (verification) {// 验证通过,传递给过滤器链上的下一个FilterfilterChain.doFilter(request, response);} else {// 验证不通过,重定向到登录错误页面response.sendRedirect("/login-error?msg=" + URLEncoder.encode("验证码不正确", "UTF-8"));}}
}相关文章:
)
验证码(笔记)
为什么要有验证码: 为什么验证码这么让人厌烦,每个网站还要使用它呢?换句话说,这些网站为什么要“故意为难”用户呢? 其实验证码主要是为了区分用户是计算机还是人。假设一个黑客知道了你的账号,根据账号可…...
【Linux系列】目录大小查看
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…...
2048游戏(含Python源码)
前言 相关参考游戏: 像素飞机大战(含Python源码)-CSDN博客https://blog.csdn.net/weixin_64066303/article/details/147693018?spm1001.2014.3001.5501使用DeepSeek定制Python小游戏——以“俄罗斯方块”为例-CSDN博客https://blog.csdn.n…...
SwiftData 数据持久化解决方案
什么是 SwiftData? SwiftData 是苹果在 WWDC23 上推出的全新数据持久化框架,它构建在 Core Data 之上,但提供了更加 Swift 友好的 API。SwiftData 旨在简化数据模型的创建和管理,让开发者能够以更少的代码实现强大的数据持久化功…...
中间件-RocketMQ
RocketMQ 基本架构消息模型消费者消费消息模式顺序消息机制延迟消息批量消息事务消息消息重试最佳实践 基本架构 nameServer: 维护broker列表信息,客户端连接时只需要连接nameServer。可配置成集群。 broker:broker分为master和slave,master负…...
PostgreSQL 的 pg_current_logfile 函数
PostgreSQL 的 pg_current_logfile 函数 pg_current_logfile() 是 PostgreSQL 9.6 版本引入的一个系统管理函数,用于获取当前正在使用的日志文件路径。 一 基本用法 1 函数定义 pg_current_logfile([text]) → text2 简单查询 -- 获取当前日志文件路径 SELECT …...
Python就业方向有哪些?
Python 作为一门通用、易学且功能强大的编程语言,在多个领域都有广泛的应用,因此就业方向也非常多样化。以下是 Python 主要的就业方向及相关技能要求。 1. Web 开发 岗位:Python Web 开发工程师、后端工程师、全栈工程师技术栈:…...
iptables 访问控制列表使用记录
iptables 是linux操作系统上自带的防火墙程序,功能强大,能够依据策略过滤掉一些恶意访问流量,本次记录一下iptables的常见使用方法,未尽之处,欢迎补充。 一、iptables 下载 我这里使用的是华为openEuler 22.03版本&am…...
16. Qt系统相关:事件、定时器
1. Qt事件 1.1 简介 事件是应用程序内部或者外部产生的事情或者动作的统称。在Qt中使用一个对象来表示一个事件。所有的Qt事件均继承于抽象类QEvent。事件是由系统或者Qt平台本身在不同的时刻发出的。当用户按下鼠标、敲下键盘,或者是窗口需要重新绘制的时候&#…...
云平台搭建
物联网云平台的基本概述 基本概念 随着物联网技术的快速发展,越来越多的设备需要接入网络以实现智能化功能,物联网平台应运而生。 物联网云平台(IoT Cloud Platform)是物联网生态系统中的核心组件,它通过提供一系列…...
数学实验(Matlab语言环境和线性代数实验)
一、Matlab语言环境和线性代数实验 1.Matlab语言环境 Matlab简介 Matlab:Matrix Laboratry 矩阵实验室 Matlab 提供了强大的科学计算、灵活的程序设计流程、高质量的图形可视化与界面设计等功能,被广泛应用于科学计算、控制系统、信息处理等领域的分…...
sherpa:介绍
更多内容:XiaoJ的知识星球 目录 1. sherpa 介绍 1. sherpa 介绍 sherpa是 Next-gen Kaldi 项目的部署框架。 sherpa 支持在各种平台上部署与语音相关的预训练模型,并提供多种语言绑定。 目前,sherpa 拥有以下子项目: k2-fsa/sh…...
图片上传的util和使用
图片上传的util package com.ruoyi.web.controller.common.utils;import org.springframework.beans.factory.InitializingBean; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; import org.spri…...
2025年4月个人工作生活总结
本文为 2025年4月工作生活总结。 研发编码 一个项目的临时记录 自2月份领导让我牵头负责一个项目起,在本月算是有较多时间投入——但也是与之前的相比。 月初,清明节前一晚上,因某事务被叫上参加临时紧急远程会议,几方领导都在…...
利用Elixir中的原子特性 + 错误消息泄露 -- Atom Bomb
题目信息: This new atom bomb early warning system is quite strange… 题目使用 elixir 语言 一开始,我们会访问 /page.html <!DOCTYPE html> <!-- 设定文档语言为英语 --> <html lang"en"> <head><!-- 设定字符编码为UTF-8 --><…...
numpy pandas
视频链接 numpy numpy是基于一个矩阵的运算 矩阵的属性 import numpy as np# 把一个列表转换成矩阵的方法 array np.array([[1,2,3],[3,4,5]])# 打印矩阵 print(array)# 维度 print(number of dim:,array.ndim)# 行数和列数 print(shape:,array.shape)# 总共有多少个元素在…...
Amazon Redshift 使用场景解析与最佳实践
作为 AWS 云上数据仓库服务的核心成员,Amazon Redshift 凭借其高性能、可扩展性与经济性,正在成为越来越多企业实现数据驱动决策的首选方案。本文将解析 Redshift 的典型使用场景,并分享几项实用的落地最佳实践,帮助企业在数据仓库…...
STM32F446 RTC在VDD/VDDA关闭后失振问题的分析与解决
【原创】STM32F446 RTC在VDD/VDDA关闭后失振问题的分析与解决 作者: 思考的味道[你的ID] | weix_42368227 版权声明: 禁止未经授权转载 1. 问题描述 在某低功耗STM32F446项目中,采用以下供电方案: VDD:由DC-DC 3.3V提供(主电源…...
整合配置的详细步骤)
SSM框架(Spring + Spring MVC + MyBatis)整合配置的详细步骤
以下是 SSM框架(Spring Spring MVC MyBatis)整合配置的详细步骤,适用于 Maven 项目。 (一)、pom.xml中添加相关依赖 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"ht…...
Elasticsearch 中的索引模板:如何使用可组合模板
作者:来自 Elastic Kofi Bartlett 探索可组合模板以及如何创建它们。 更多阅读: Elasticsearch:可组合的 Index templates - 7.8 版本之后 想获得 Elastic 认证吗?查看下一期 Elasticsearch Engineer 培训的时间! El…...
内存分配和释放原理)
内存泄漏系列专题分析之七:高通相机CamX--Android通用ION(dmabuf)内存分配和释放原理
【关注我,后续持续新增专题博文,谢谢!!!】 上一篇我们讲了:内存泄漏系列专题分析之六:高通camx 内存泄漏测试的未回收问题分析 这一篇我们开始讲:内存泄漏系列专题分析之七:高通相机CamX--Android通用ION(dmabuf)内存分配和释放原理 目录 一、背景 二、…...
【LeetCode 42】接雨水(单调栈、DP、双指针)
题面: 思路: 能接雨水的点,必然是比两边都低(小)的点。有两种思路,一种是直接计算每个点的最大贡献(也就是每个点在纵向上最多能接多少水),另一种就是计算每个点在横向上…...
【JS逆向基础】前端基础-HTML与CSS
1,flask框架 以下是一个使用flask框架写成的serve程序 # noinspection PyUnresolvedReferences #Flash框架的基本内容from flask import Flask app Flask(__name__)app.route(/index) def index():return "hello index"app.route(/login) def login():re…...
什么是HTML、CSS 和 JavaScript?
HTML、CSS 和 JavaScript 是构建网页的三大核心技术,它们分工明确又紧密协作。接下来我将分别介绍三者的定义、功能,并阐述它们如何共同构成网页,最后推荐学习资源。 一、HTML:网页的骨架与内容基础 HTML(HyperText …...
手机网页提示ip被拉黑名单什么意思?怎么办
当您使用手机浏览网页时,突然看到“您的IP地址已被列入黑名单”的提示,是否感到困惑和不安?这种情况在现代网络生活中并不罕见,但确实会给用户带来诸多不便。本文将详细解释IP被拉黑的含义、常见原因,并提供一系列实…...
CCF编程能力等级认证 一级 第一次课
介绍 CCF 编程能力等级认证(GESP)为青少年计算机和编程学习者提供学业能力验证的规则和平台,由中国计算机学会发起并主办。 每年考试分四次,时间是每年的3月、6月、9月、12月,以当年每期公布的时间为准。 GESP适用年…...
SpringBoot 讯飞星火AI WebFlux流式接口返回 异步返回 对接AI大模型 人工智能接口返回
介绍 用于构建基于 WebFlux 的响应式 Web 应用程序。集成了 Spring WebFlux 模块,支持响应式编程模型,构建非阻塞、异步的 Web 应用。WebFlux 使用了非阻塞的异步模型,能够更好地处理高并发请求。适合需要实时数据推送的应用场景。 WebClie…...
Python爬虫中time.sleep()与动态加载的配合使用
一、动态加载网页的挑战 动态加载网页是指网页的内容并非一次性加载完成,而是通过JavaScript等技术在用户交互或页面加载过程中逐步加载。这种设计虽然提升了用户体验,但对于爬虫来说,却增加了抓取的难度。传统的爬虫方法,如简单…...
学习Cesium Entities
🌐 Cesium中的Entities系统趣味学习 📊 Entities系统架构流程图 #mermaid-svg-Lkue5O3gYOkEVSbD {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-Lkue5O3gYOkEVSbD .error-icon{fill:#552222;}#mermaid-svg-Lku…...
如何减少锁竞争并细化锁粒度以提高 Rust 多线程程序的性能?
在并发编程中,锁(Lock)是一种常用的同步机制,用于保护共享数据免受多个线程同时访问造成的竞态条件(Race Condition)。然而,不合理的锁使用会导致严重的性能瓶颈,特别是在高并发场景…...