妈的,说起这个就来气!当初觉得自家网站登录太裸奔,寻思整个验证码防防机器注册,结果差点把自己站给搞崩了。你以为JSP里写个就完事了?太天真!服务器分分钟教你做人,尤其是百度蜘蛛或者那些搞快排的垃圾爬虫,能把你生成图片的接口刷到数据库连接池直接爆掉,别问我怎么知道的。
最坑爹的不是生成,是验证逻辑。我一开始居然把生成的码直接扔进页面一个隐藏域,心想前端提交过来对比一下不就完了?结果呢?爬虫直接给你原样提交,防了个寂寞。凌晨4点收报警邮件一看,全是垃圾注册,盯着Tomcat日志看到凌晨3点,烟灰缸都满了才反应过来,Session!必须用Session!而且生命周期还得设短点。
给你看看我后来缝缝补补勉强能用的核心代码思路(别直接抄,我这是简化版,血泪教训!):
// 1. 创建一个Servlet(比如叫CaptchaServlet),别直接在JSP里画图,重死你!
// 在doGet方法里干这些事:
// 生成随机字符串(别用容易混淆的字符 like '0'和'O')
String capText = generateRandomCode(4);
// !!!关键一步:塞进Session,名字叫"captcha"
request.getSession().setAttribute("captcha", capText);
// 创建图片对象,设置背景、字体颜色(记得抗锯齿)
BufferedImage bi = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
Graphics2D g2d = bi.createGraphics();
// ... 一堆画图设置(字体、背景色、干扰线、噪点,能加多少加多少)
// 把字符串画到图片上
// 这里有个巨坑:字符集!如果用户系统没你用的字体,直接乱码。
// 我后来统一用了Arial,虽然丑,但保命。
// 设置响应头,告诉浏览器这是张图片
response.setContentType("image/jpeg");
// 千万别缓存!不然一个码用一辈子。
response.setHeader("Cache-Control", "no-cache, no-store");
response.setHeader("Pragma", "no-cache");
// 把图片流输出给前端
ImageIO.write(bi, "jpeg", response.getOutputStream());
g2d.dispose();
然后在前端JSP页面里,就这么调用:<img src="你的项目路径/captcha" onclick="this.src='captcha?d='+new Date().getTime()" /> 那个onclick是让图片能点击刷新,不加的话用户看不清还得F5刷新整个页面,体验屎一样。
真正的坑,现在才开始。 用户提交表单了,你怎么验?抽了三根烟才冷静下来写的验证逻辑:
// 在处理登录/注册的Servlet里
String userInput = request.getParameter("captchaCode"); // 用户输入的
String sessionCode = (String) request.getSession().getAttribute("captcha");
// 1. 先判断session里还有没有码,防止重复提交或者session过期
if(sessionCode == null) {
// 直接返回错误,让他刷新页面重新要一个码
request.setAttribute("errorMsg", "验证码已失效,请刷新重试!");
request.getRequestDispatcher("/login.jsp").forward(request, response);
return;
}
// 2. 比较(记得忽略大小写!)
if(!sessionCode.equalsIgnoreCase(userInput)) {
request.setAttribute("errorMsg", "验证码错误!");
// 重要!验证失败后,要把session里的旧验证码清掉,强制他用新的
request.getSession().removeAttribute("captcha");
request.getRequestDispatcher("/login.jsp").forward(request, response);
return;
}
// 3. 验证通过后,同样要立即清除session中的验证码!一根烟抽完发现session没清,这就是漏洞。
request.getSession().removeAttribute("captcha");
// ... 继续你的登录逻辑
就这?还没完。性能呢?你每刷新一次就画一张图,GC回收压力巨大,尤其是那种手抖用户。我后来被迫上了内存缓存,同一个session短时间内请求同一个验证码,我返回缓存的图片流。还有,别用JSP页面去响应图片请求,要用Servlet,JSP编译和渲染开销你伤不起。
最后,这里有份保命文档(不是我写的),讲的是更狠的,比如用谷歌的reCAPTCHA或者国内的一些行为验证码服务,虽然要接第三方,但真的省心,把服务器压力和安全风险都甩出去了。自己造轮子,尤其是在JSP这个老古董环境里,纯属用爱发电,头发掉光的那种。我现在回头看,为了这么一个功能,搭进去的调试和优化时间够我写十篇原创文章了,关键是百度蜘蛛它也不认你这苦心啊!唉。
说多了都是泪。你先按这个思路把基本功能跑通,记住,生成和验证一定要分两个不同的请求/Servlet来处理,Session是亲爹,用完就删是保命法则。等哪天你站点流量真上来了,第一件事就是把这套自己写的破烂换掉,相信我。
