告别传统验证码:用Java的easy-captcha库5分钟搞定算术验证码(附完整代码)
告别传统验证码:用Java的easy-captcha库5分钟搞定算术验证码(附完整代码)
在Web应用开发中,验证码是防止机器人攻击的第一道防线。但传统的扭曲文字验证码不仅用户体验差,识别率低,还经常让真实用户抓狂。今天要介绍的算术验证码,通过简单的加减乘除运算,既实现了人机验证,又大幅提升了用户体验。更重要的是,借助Java生态中的easy-captcha库,只需5分钟就能为你的Spring Boot应用集成这一功能。
算术验证码的核心优势在于:
- 零学习成本:任何用户都具备基础运算能力
- 高通过率:避免了图形识别带来的误判
- 轻量集成:无需复杂的前端组件或第三方服务
- 灵活定制:可调整难度级别适应不同场景
下面我们就从实战角度,一步步实现这个既简单又安全的验证方案。
1. 环境准备与依赖配置
首先确保你的项目是基于Maven构建的Java Web应用(Spring Boot最佳)。在pom.xml中添加easy-captcha的依赖:
<dependency> <groupId>com.github.whvcse</groupId> <artifactId>easy-captcha</artifactId> <version>1.6.2</version> </dependency>这个轻量级库只有不到100KB,却提供了多种验证码生成方案。我们重点使用其中的ArithmeticCaptcha类。
提示:如果项目中使用Gradle,对应的依赖声明为:
implementation 'com.github.whvcse:easy-captcha:1.6.2'
2. 基础算术验证码生成
创建一个简单的Controller来生成验证码:
@RestController @RequestMapping("/captcha") public class CaptchaController { @GetMapping("/math") public void getMathCaptcha(HttpServletRequest request, HttpServletResponse response) throws IOException { // 设置请求头为输出图片类型 response.setContentType("image/jpeg"); response.setHeader("Pragma", "No-cache"); // 初始化算术验证码(宽111像素,高36像素) ArithmeticCaptcha captcha = new ArithmeticCaptcha(111, 36); // 获取运算表达式(如 "3 x 9 = ?") String arithmeticString = captcha.getArithmeticString(); // 获取运算结果(如 "27") String result = captcha.text(); // 存储结果到Session(实际项目建议用Redis) request.getSession().setAttribute("captcha", result); // 输出图片流 captcha.out(response.getOutputStream()); } }访问/captcha/math即可看到生成的验证码图片。前端用<img>标签引入即可:
<img src="/captcha/math" onclick="this.src='/captcha/math?t='+Date.now()"/>点击图片可刷新验证码。
3. 高级配置与样式定制
ArithmeticCaptcha提供了多种自定义选项:
// 创建时指定运算位数和难度 ArithmeticCaptcha captcha = new ArithmeticCaptcha(150, 40, 3); // 3位运算 // 设置背景颜色(RGB或十六进制) captcha.setBackground(Color.white); // 设置字体样式 captcha.setFont(new Font("Arial", Font.BOLD, 20)); // 设置干扰线数量 captcha.setLineNum(2);验证码复杂度可以通过以下参数组合调整:
| 参数 | 说明 | 推荐值 |
|---|---|---|
| 运算位数 | 参与运算的数字位数 | 1-3位 |
| 运算符 | +,-,×,÷ 的组合 | 根据场景选择 |
| 干扰元素 | 干扰线/点的数量 | 2-5条 |
| 字体样式 | 字体大小和类型 | 16-24px |
4. 验证逻辑与安全实践
验证用户输入时,需要对比Session中的存储值:
@PostMapping("/verify") public ResponseEntity<?> verifyCaptcha(@RequestParam String userInput, HttpServletRequest request) { String captcha = (String) request.getSession().getAttribute("captcha"); if (userInput.equals(captcha)) { return ResponseEntity.ok().build(); } else { return ResponseEntity.status(400).body("验证码错误"); } }安全注意事项:
- 验证码有效期应设置为2-5分钟
- 同一个验证码只能使用一次
- 建议对验证失败次数进行限制
- 重要操作需要二次验证
对于分布式系统,建议用Redis替代Session存储:
// 存储到Redis(有效期2分钟) redisTemplate.opsForValue().set( "captcha:" + sessionId, result, 2, TimeUnit.MINUTES ); // 验证时从Redis获取 String storedCode = redisTemplate.opsForValue().get("captcha:" + sessionId);5. 与其他验证方案的对比
算术验证码特别适合内部系统、管理后台等对安全性要求中等,但追求用户体验的场景:
| 验证码类型 | 安全性 | 用户体验 | 集成复杂度 | 适用场景 |
|---|---|---|---|---|
| 传统图形 | 中 | 差 | 低 | 通用场景 |
| 算术 | 中高 | 优 | 低 | 内部系统 |
| 滑动拼图 | 高 | 良 | 中 | 电商/金融 |
| 行为验证 | 极高 | 中 | 高 | 支付/注册 |
算术验证码的一个局限是不适合面向儿童或教育程度较低用户的场景。这时可以考虑图形选择验证码(如"点击所有包含公交车的图片")。
6. 完整示例与异常处理
整合前面的知识点,下面是一个完整的Spring Boot实现:
@RestController public class CaptchaController { @Autowired private RedisTemplate<String, String> redisTemplate; @GetMapping("/captcha") public void generateCaptcha(HttpServletResponse response, @RequestParam String token) throws IOException { response.setContentType("image/jpeg"); response.setHeader("Pragma", "No-cache"); ArithmeticCaptcha captcha = new ArithmeticCaptcha(120, 40, 3); captcha.setFont(new Font("Arial", Font.PLAIN, 22)); // 存储到Redis redisTemplate.opsForValue().set( "captcha:" + token, captcha.text(), 3, TimeUnit.MINUTES ); captcha.out(response.getOutputStream()); } @PostMapping("/verify") public ResponseEntity<?> verify(@RequestBody VerifyRequest request) { String key = "captcha:" + request.getToken(); String storedCode = redisTemplate.opsForValue().get(key); if (storedCode == null) { return ResponseEntity.status(400).body("验证码已过期"); } if (!storedCode.equals(request.getCode())) { return ResponseEntity.status(400).body("验证码错误"); } // 验证成功后删除key redisTemplate.delete(key); return ResponseEntity.ok().build(); } } @Data class VerifyRequest { private String token; private String code; }前端调用示例:
let token = generateUUID(); // 生成唯一token // 获取验证码 document.getElementById('captcha-img').src = `/captcha?token=${token}`; // 验证 fetch('/verify', { method: 'POST', body: JSON.stringify({ token: token, code: document.getElementById('captcha-input').value }) });异常处理要点:
- 验证码生成失败时返回HTTP 503
- 输入为空时返回400错误
- 考虑添加频率限制(如1分钟最多请求5次)
- 对验证接口实施防爆破保护
在实际项目中,我发现将验证码与业务逻辑解耦是最佳实践——单独部署验证码服务,通过JWT令牌进行验证,这样既能横向扩展,又不会影响主业务逻辑。