在学习过程中,我遇到了一个场景:用户使用邮箱进行登录注册,此时需要向对应邮箱发送验证码。之后用户输入验证码后,我们需要对验证码进行校验。这里我选择使用第三方包base64Captcha生成验证码,并且使用redis作为验证码池进行存储,代码如下:
1.创建一个redis验证码池,确保你已经配置了redis环境,这里必须实现以下base64Captcha中的Store接口
type Store interface {// Set sets the digits for the captcha id.//验证码存入验证码池的方法,id为键,验证码为值Set(id string, value string) error// Get returns stored digits for the captcha id. Clear indicates// whether the captcha must be deleted from the store.//获取验证码的方法Get(id string, clear bool) string//Verify captcha's answer directly//校验验证码的方法Verify(id, answer string, clear bool) bool}
对这个接口的实现方法如下
//自定义一个验证码池//以redis作为验证码池var ctx = context.Background()const CAPTCHA = "captcha:"type RedisStore struct {}// Set sets the digits for the captcha id.func (r RedisStore) Set(id string, value string) error {key := CAPTCHA + iderr := global.RedisDb.Set(ctx, key, value, time.Minute*2).Err()if err != nil {log.Println(err.Error())}return err}// Get returns stored digits for the captcha id. Clear indicates// whether the captcha must be deleted from the store.func (r RedisStore) Get(id string, clear bool) string {key := CAPTCHA + idval, err := global.RedisDb.Get(ctx, key).Result()if err != nil {fmt.Println(err)return ""}if clear {err := global.RedisDb.Del(ctx, key).Err()if err != nil {fmt.Println(err)return ""}}return val}// Verify captcha's answer directlyfunc (r RedisStore) Verify(id, answer string, clear bool) bool {v := RedisStore{}.Get(id, clear)//fmt.Println("key:"+id+";value:"+v+";answer:"+answer)return v == answer}
2.创建一个用于发送验证码到邮箱的utils工具(具体的邮箱配置忽略)
package utilsimport ("context""fmt""github.com/jordan-wright/email""github.com/mojocn/base64Captcha""net/smtp")// 发送邮箱验证码func SendEmailValidate(em []string, myType int) (string, error) {e := email.NewEmail()e.From = fmt.Sprintf("发件人邮箱")e.To = em// 生成6位随机验证码driver := base64Captcha.NewDriverDigit(80, 240, 5, 0.7, 80)//这里在生成验证码对象时,就使用了redis作为验证码池cp := base64Captcha.NewCaptcha(driver, cache.RedisStore{})id, _, anwser, err := cp.Generate()fmt.Println("id", id)fmt.Println("anwser", anwser)if err != nil {fmt.Println("err")return "", err}ems := em[0]//为id添加验证码类型,1为注册,2为登录if myType == 1 {id = fmt.Sprintf("%s&%s", id, "emailtoregister")} else if myType == 2 {id = fmt.Sprintf("%s&%s", id, "emailtologin")} else {id = fmt.Sprintf("%s&%s", id, "emailtoforgetpassword")}cmd := global.RedisDb.Set(context.Background(), ems, id, 2*time.Minute)if cmd.Err() != nil {log.Fatal(cmd.Err())return "", cmd.Err()}//设置文件发送的内容content := fmt.Sprintf(`<div><div>您好!</div><div style="padding: 8px 40px 8px 50px;"><p>您提交的邮箱验证,本次验证码为<u><strong>%s</strong></u>,为了保证账号安全,验证码有效期为5分钟。请确认为本人操作,切勿向他人泄露,感谢您的理解与使用。</p></div><div><p>此邮箱为系统邮箱,请勿回复。</p></div></div>`, anwser)e.Text = []byte(content)//设置服务器相关的配置err = e.Send("smtp.qq.com:25", smtp.PlainAuth("", "发件人邮箱", "发件人的密钥", "smtp.qq.com"))fmt.Println("to", e.To)return anwser, err}
3.gin框架发送验证码的路由
// 发送注册验证码func GetValidateCode(c *gin.Context) {// 获取目的邮箱ems := c.Param("email")temp := strings.Split(ems, "@")if len(temp) < 2 {c.JSON(http.StatusBadRequest, gin.H{"msg": "请输入正确邮箱","code": 400,"data": nil,})return}em := []string{ems}fmt.Println(ems)fmt.Println(em)//发送验证码,并将验证码id和email存入redis_, err := utils.SendEmailValidate(em, 1)if err != nil {log.Println(err)c.JSON(http.StatusBadRequest, gin.H{"status": 400,"msg": "验证码发送失败","ERROR-CONTROLLER": err.Error(),})return}c.JSON(http.StatusOK, gin.H{"msg": "验证码发送成功","status": 200,})return}
代码部分到此结束,接下来我要讲解以下验证码的校验思路,来看两个问题:
1.假定,现在恶意攻击者准备用别人的邮箱以爆破的方式登入别人的账号时,如果我们只是简单的对验证码做存储和校验会遇到什么问题呢?1)验证码池冗余:可以预见的一个问题是,如果攻击者不断向我们的后端发起请求验证码的请求,即便我们设置了过期时间,但是在大量请求的情况下验证码池还是会冗余大量的验证码。而在我们底层,只有base64Captcha自动生成的id和验证码做绑定。即便id的生成是随机的,但这也无疑增加了爆破成功的概率。为了解决这个问题,我们可以在id为键,存贮验证码的基础上再加一层,即邮箱为键,绑定id。这样一来,无论请求方如何请求我们的验证码,因为邮箱是不变的,且对于id来说是唯一的的,所以每次请求都会把上一次存储的id覆盖,也就意味着上一次请求的验证码是无效的。2)验证码越权:第二个问题,在上述问题中,我们使用了邮箱和id进行绑定。但是依旧存在问题,假设现在,一个用户在邮箱注册处获得了一个验证码,结果他用这个验证码去进行登录。这在业务上极其不合理,但是按照底层逻辑来说这是能实现的。因为邮箱是不变的,无论登录和注册,我获取验证码都是通过这一个邮箱号。为了解决这个问题,我选择的方法是:在原生的id后拼接标识符,以达到标识这个验证码对应的是哪一个接口的目的。也即id + 分隔符 + 标识符。这样一来,我只要通过分隔符切分,取到数组的最后一个,再在对应路由中,判断这个验证码是否为对应功能即可。具体验证方法如下:
// ValidateEmailCode// @Title ValidateEmailCode// @Description 验证邮箱验证码,并注册用户。// @Author hyy 2022-03-05 18:19:18// @Param c type descriptionfunc ValidateEmailCode(c *gin.Context) {//检验邮箱是否合法var user forms.CreateUserByEmailerr := c.ShouldBindJSON(&user)fmt.Println(user)if err != nil {log.Println(err.Error())c.JSON(http.StatusBadRequest, gin.H{"status": 400,"msg": "注册失败,json解析失败","ERROR-CONTROLLER": err.Error(),})return}myEmail := user.Email// 默认用户权限为2if user.RoleId == 0 {user.RoleId = 3}// 通过邮箱获取在redis中绑定的idid, err := global.RedisDb.Get(context.Background(), myEmail).Result()//分隔符切分myResp := strings.Split(id, "&")if len(myResp) < 2 {c.JSON(http.StatusInternalServerError, gin.H{"msg": "验证码失效","code": 500,"data": nil,})return}//判断接口是否对应if myResp[1] != "emailtoregister" {c.JSON(http.StatusBadRequest, gin.H{"msg": "验证码失效","data": nil,"code": 400,})return}id = myResp[0]if err != nil {log.Println(err.Error())c.JSON(http.StatusBadRequest, gin.H{"status": 400,"msg": "Redis获取vCode失败","ERROR-CONTROLLER": err.Error(),})return}
标签:
安全
本文转载自: https://blog.csdn.net/qq_62906402/article/details/139880144
版权归原作者 桐生战兔868 所有, 如有侵权,请联系我们删除。
版权归原作者 桐生战兔868 所有, 如有侵权,请联系我们删除。