TienChin 验证码响应结果分析&验证码生成接口分析

简介: 首先从前端开始进行分析,进入到登录页面,打开开发者工具(f12),找到 network,f5 刷新一下页面,然后,筛选一下,筛选内容为 Fetch/XHR:

验证码响应结果分析


首先从前端开始进行分析,进入到登录页面,打开开发者工具(f12),找到 network,f5 刷新一下页面,然后,筛选一下,筛选内容为 Fetch/XHR



你会发现列表中有两项内容,我们只需要查看 captchaImage 即可,从名字就可以看出是验证码图片的意思,然后我们查看这个响应结果是什么,响应结果

{
    "msg": "操作成功",
    "img": "...",
    "code": 200,
    "captchaEnabled": true,
    "uuid": "f17217c9743a445298ec85e317f29537"
}


  • captchaEnabled: 验证码是否需要开启,true 开启,false 不开启
  • img:Base64 编码的图片(如果返回二进制会乱码不好理解,前端可以将 Base64 渲染成为图片)
  • uuid:整个系统的 securityId(登录后端有个 session,返回给前端存储到 Cookie 当中,每次带着 Cookie 服务端就知道你已经登录过了,这是传统的方式与做法,ruoyi 使用的是 JWT,但是和传统的 Session 与 Cookie 差不多,换汤不换药)


?> Base64 字符串转图片: https://tool.jisuapi.com/base642pic.html

2105804-20230622171847679-1856792256.png

验证码生成接口分析

通过如上的介绍我们其实已经拿到了验证码接口的名称了,复制一下,去后端当中全局搜这个名字(ctrl + shift + f),会出现如下结果:

2105804-20230622172335093-446470077.png

到这里我其实介绍了一下,遇到了新项目如何去找接口的位置,这是我比较推荐的一种方式,其它方式就是自己去后端工程当中进行搜寻,这种如果项目比较小还好,太大了我还是推荐我第一种推荐的方式也是现在一直在用的方式进行接口定位。


CaptchaController

captchaImage 方法解刨,如下代码首先去确认了一下验证码是否需要开启:

boolean captchaEnabled = configService.selectCaptchaEnabled();


如果为 false 直接返回响应结果,则前端没有验证码需要进行填写。


!> 这个结果是可以去数据库更改,但是数据库更改了不会立马生效因为更改之前的配置结果保存在 Redis 有一份,所以还需要去删除掉 Redis 在重新加载才会生效



如果 captchaEnabled 为 true,继续往下走,生成验证码,验证码类型分为 mathchar,根据不同的类型去生成,captchaTypeRuoYiConfig 中获取,我们来看看 RuoYiConfig 是什么:



可以看到是从我们的外部配置文件动态装配进来的我们去看看这个文件内容的大致结构,其实就是从 application.yml 中获取,我们自定义了一个关键词为 tienchin 在下面配置了一个 captchaType



math

数值计算的验证码也就是需要自己根据生成的验证码自己计算正确的结果,例如,7+7=?, 那么底层是如何解析这个正确的答案的呢,关键代码如下:



8+1=?@9,根据 @ 截取,前面部分的返回给前端,后面的正确答案会放入 Redis 进行存储,然后通过 Base64 转换返回给前端了。


char

char 就是典型的验证码形式,就是将一串字符以一张图片的形式展示给用户进行填写,我们将正确的验证码结果,存储在 Redis,登录的时候拿着用户输入的与我们 Redis 存在的进行对比即可完成校验。


最终 captchaImage 接口各个部分的代码解释如下:

/**
 * 生成验证码
 */
@GetMapping("/captchaImage")
public AjaxResult getCode() {
    // 创建一个 AjaxResult 这个是用于返回响应结果是实体类对象
    AjaxResult ajax = AjaxResult.success();
    // 查看验证码的配置是否开启了验证码
    boolean captchaEnabled = configService.selectCaptchaEnabled();
    // 将标志写入到响应结果中
    ajax.put("captchaEnabled", captchaEnabled);
    // 如果没有开启则直接返回告诉前端
    if (!captchaEnabled) {
        return ajax;
    }
    // 得到一个UUID
    String uuid = IdUtils.simpleUUID();
    // 生成验证码的Redis保存Key
    String verifyKey = CacheConstants.CAPTCHA_CODE_KEY + uuid;
    // 定义变量
    String capStr, code = null;
    // 定义一个缓冲的图片流用于将验证码写给前端使用转换为流的形式
    BufferedImage image = null;
    // 生成验证码
    String captchaType = RuoYiConfig.getCaptchaType();
    if ("math".equals(captchaType)) {
        // 逻辑略过(因为太简单)
        String capText = captchaProducerMath.createText();
        capStr = capText.substring(0, capText.lastIndexOf("@"));
        code = capText.substring(capText.lastIndexOf("@") + 1);
        image = captchaProducerMath.createImage(capStr);
    } else if ("char".equals(captchaType)) {
        // 逻辑略过(因为太简单)
        capStr = code = captchaProducer.createText();
        image = captchaProducer.createImage(capStr);
    }
    // 写入Redis
    redisCache.setCacheObject(verifyKey, code, Constants.CAPTCHA_EXPIRATION, TimeUnit.MINUTES);
    // 转换流信息写出,创建了一个输出流
    FastByteArrayOutputStream os = new FastByteArrayOutputStream();
    try {
        // 逻辑略过(因为太简单)
        assert image != null;
        ImageIO.write(image, "jpg", os);
    } catch (IOException e) {
        // 逻辑略过(因为太简单)
        return AjaxResult.error(e.getMessage());
    }
    // 逻辑略过(因为太简单)
    ajax.put("uuid", uuid);
    ajax.put("img", Base64.encode(os.toByteArray()));
    return ajax;
}

?> 觉得逻辑清晰写的不错,还请麻烦给个关注与点赞支持一下博主,这将成为博主更新的动力。

目录
相关文章
|
JavaScript API 数据安全/隐私保护
数美滑块验证码分析
本文以官网的滑块验证码为例,分析验证过程,完成模拟验证。
2519 0
数美滑块验证码分析
|
安全 API 数据安全/隐私保护
​验证码邮件API有哪些?分析最好的3个接口平台
验证码邮件API如AOKSend、SendGrid和Mailgun是用户身份验证的关键工具。这些API提供高效、可靠的邮件发送服务,确保验证码的安全传输。AOKSend以其快速发送和易用性著称,SendGrid则以全面功能和扩展性见长,而Mailgun则以灵活性和高送达率闻名。开发者可以根据需求选择合适的API,通过示例代码轻松集成到应用中,增强安全性和用户体验。
|
缓存 JavaScript 数据安全/隐私保护
Crack Captcha | 某招投标信息查询网站滑块验证码分析
Crack Captcha | 某招投标信息查询网站滑块验证码分析
348 0
|
自然语言处理 算法 安全
语音验证码短信原理和应用场景分析(附Java 接入代码)
语音验证码短信原理和应用场景分析(附Java 接入代码)
998 0
|
文字识别 安全 测试技术
APP漏洞检测 验证码被重复利用漏洞分析与汇总
在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身份验证码,再一个对重要的操作进行的操作验证码,虽然从名字上都是验证码,但这两种所包含的内容是不一样的。
APP漏洞检测 验证码被重复利用漏洞分析与汇总
|
存储 NoSQL 数据库
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
这篇文章讲述了在分布式微服务系统中添加用户注册和登录功能的过程,重点介绍了用户注册时通过远程服务调用第三方服务获取短信验证码、使用Redis进行验证码校验、对密码进行MD5加密后存储到数据库,以及用户登录时的远程服务调用和密码匹配校验的实现细节。
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
|
缓存 Java 应用服务中间件
java语言后台管理若依框架-登录提示404-接口异常-系统接口404异常如何处理-登录验证码不显示prod-api/captchaImage 404 (Not Found) 如何处理-解决方案优雅草卓伊凡
java语言后台管理若依框架-登录提示404-接口异常-系统接口404异常如何处理-登录验证码不显示prod-api/captchaImage 404 (Not Found) 如何处理-解决方案优雅草卓伊凡
5122 5
|
资源调度 JavaScript API
nest.js + sms 实现短信验证码登录
本文介绍了在Nest.js框架中集成短信验证码登录的实现方案,详细阐述了使用阿里云短信服务的配置流程、资质申请、短信模板设置,并提供了API调用示例和工程代码的运行步骤。
nest.js + sms 实现短信验证码登录
|
C#
C# 图形验证码实现登录校验代码
C# 图形验证码实现登录校验代码
660 2
|
Java
Java 登录输入的验证码
Java 登录输入的验证码
257 1

热门文章

最新文章