如何用Java对敏感接口添加验证码 Java实现图形验证码请求验证

java给敏感接口加验证码的核心在于防止恶意请求，主要通过生成图形验证码实现。1. 使用java.awt.image和graphics2d类生成验证码图片，内容可为随机数字、字母或组合，并添加干扰线、噪点提高安全性；2. 将验证码以base64编码返回前端，同时将正确答案存储于session或redis中；3. 前端展示验证码图片并提供输入框和刷新按钮；4. 用户提交请求时后端验证输入与存储的验证码是否一致，验证通过则处理请求，否则返回错误；5. 为防止破解，可提升验证码复杂度、使用滑动验证码、限制尝试次数、采用https传输、定期更换算法；6. 存储方式选择上，session适用于小规模应用，redis适用于分布式环境；7. 前端应在页面加载、用户点击刷新、验证码输入错误或过期时刷新验证码。

用Java给敏感接口加验证码，核心在于防止恶意请求，图形验证码是比较常见且有效的方式。简单来说，就是在用户访问接口前，先生成一个图形验证码，用户输入正确后才能继续访问。

解决方案

1. 生成验证码: 使用Java的java.awt.image和java.awt.Graphics2D等类可以生成图形验证码。 验证码的内容可以是随机数字、字母或数字字母组合。 为了增加破解难度，可以添加干扰线、噪点等。 将生成的验证码图片以Base64编码的形式返回给前端，同时将验证码的正确答案存储在服务器端的Session中（或其他方式，例如Redis）。

   立即学习“Java免费学习笔记（深入）”；

   

   import java.awt.*;
   import java.awt.image.*;
   import java.util.Random;
   import java.util.Base64;
   import java.io.ByteArrayOutputStream;
   import javax.imageio.ImageIO;
   
   public class CaptchaUtil {
   
       public static class CaptchaResult {
           public String base64Image;
           public String text;
       }
   
       public static CaptchaResult generateCaptchaImage(int width, int height) throws Exception {
           CaptchaResult result = new CaptchaResult();
           Random random = new Random();
   
           // 创建BufferedImage对象
           BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
   
           // 获取Graphics2D对象
           Graphics2D g = image.createGraphics();
   
           // 设置背景颜色
           g.setColor(Color.WHITE);
           g.fillRect(0, 0, width, height);
   
           // 设置字体
           Font font = new Font("Arial", Font.BOLD, 20);
           g.setFont(font);
   
           // 生成随机验证码
           String captchaText = generateRandomText(4); // 生成4位随机字符
           result.text = captchaText;
   
           // 绘制验证码
           g.setColor(Color.BLACK);
           int x = 10;
           for (int i = 0; i < captchaText.length(); i++) {
               g.drawString(String.valueOf(captchaText.charAt(i)), x, 25);
               x += 20;
           }
   
           // 添加干扰线
           for (int i = 0; i < 10; i++) {
               int x1 = random.nextInt(width);
               int y1 = random.nextInt(height);
               int x2 = random.nextInt(width);
               int y2 = random.nextInt(height);
               g.setColor(getRandomColor());
               g.drawLine(x1, y1, x2, y2);
           }
   
           // 添加噪点
           float density = 0.03f; // 噪点密度
           int numPixels = (int) (width * height * density);
           for (int i = 0; i < numPixels; i++) {
               int x1 = random.nextInt(width);
               int y1 = random.nextInt(height);
               g.setColor(getRandomColor());
               image.setRGB(x1, y1, g.getColor().getRGB());
           }
   
           g.dispose();
   
           // 将BufferedImage转换为Base64编码
           ByteArrayOutputStream baos = new ByteArrayOutputStream();
           ImageIO.write(image, "png", baos);
           byte[] imageBytes = baos.toByteArray();
           String base64Image = Base64.getEncoder().encodeToString(imageBytes);
           result.base64Image = "data:image/png;base64," + base64Image;
   
           return result;
       }
   
       private static String generateRandomText(int length) {
           String characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";
           Random random = new Random();
           StringBuilder sb = new StringBuilder(length);
           for (int i = 0; i < length; i++) {
               sb.append(characters.charAt(random.nextInt(characters.length())));
           }
           return sb.toString();
       }
   
       private static Color getRandomColor() {
           Random random = new Random();
           return new Color(random.nextInt(256), random.nextInt(256), random.nextInt(256));
       }
   
       public static void main(String[] args) throws Exception {
           CaptchaResult result = generateCaptchaImage(100, 40);
           System.out.println("Base64 Image Data: " + result.base64Image);
           System.out.println("Captcha Text: " + result.text);
       }
   }

2. 前端展示: 前端收到Base64编码的图片数据后，将其设置为标签的src属性。 前端需要提供一个输入框供用户输入验证码，以及一个刷新验证码的按钮。

   @@##@@
   
   刷新验证码
   
   

3. 接口验证: 当用户提交请求时，前端需要将用户输入的验证码和其它参数一起发送到后端。 后端在接收到请求后，首先从Session中取出正确的验证码答案，然后与用户输入的验证码进行比较。 如果验证码正确，则继续处理用户的请求；否则，返回错误提示。

   

   MiniMax Agent

   MiniMax平台推出的Agent智能体助手

   下载

   @PostMapping("/sensitiveEndpoint")
   public ResponseEntity sensitiveEndpoint(@RequestParam String captcha, HttpSession session) {
       String correctCaptcha = (String) session.getAttribute("captcha");
   
       if (correctCaptcha != null && correctCaptcha.equalsIgnoreCase(captcha)) {
           // 验证码正确，处理业务逻辑
           session.removeAttribute("captcha"); // 验证成功后移除，防止重复使用
           return ResponseEntity.ok("操作成功");
       } else {
           // 验证码错误
           return ResponseEntity.badRequest().body("验证码错误");
       }
   }
   
   @GetMapping("/captcha")
   public ResponseEntity> getCaptcha(HttpSession session) throws Exception {
       CaptchaUtil.CaptchaResult captchaResult = CaptchaUtil.generateCaptchaImage(100, 40);
       session.setAttribute("captcha", captchaResult.text);
       Map response = new HashMap<>();
       response.put("base64Image", captchaResult.base64Image);
       return ResponseEntity.ok(response);
   }

如何防止验证码被恶意破解？

• 增加验证码的复杂度： 使用更复杂的字体、颜色、干扰线、噪点等。
• 使用滑动验证码或行为验证码： 这些验证码需要用户进行一些特定的操作，例如滑动拼图、拖动滑块等，可以更有效地防止机器人攻击。
• 限制验证码的尝试次数： 如果用户连续多次输入错误的验证码，可以暂时禁止其访问接口。
• 使用HTTPS： 防止验证码在传输过程中被篡改。
• 定期更换验证码的生成算法： 增加破解难度。

验证码存储方式的选择：Session vs. Redis

Session简单易用，但存在一些问题。 例如，在分布式环境下，Session共享是一个需要解决的问题。 Redis是一个高性能的键值存储数据库，可以用来存储验证码。 使用Redis可以解决Session共享的问题，并且可以提供更高的性能。 选择哪种方式取决于具体的应用场景和需求。 如果应用规模较小，可以使用Session。 如果应用规模较大，建议使用Redis。

前端验证码刷新策略：何时刷新？

• 页面加载时刷新： 确保用户一开始就能看到验证码。
• 用户点击刷新按钮时刷新： 允许用户手动刷新验证码。
• 验证码输入错误时刷新： 提示用户重新输入验证码。
• 验证码过期时刷新： 避免用户使用过期的验证码。

总的来说，添加验证码是一个有效的安全措施，但需要根据具体的应用场景选择合适的验证码类型和存储方式，并采取一些额外的措施来防止验证码被恶意破解。