1. 为什么需要验证码验证码是现代Web应用中必不可少的安全组件。简单来说它的核心作用就是区分人类用户和自动化程序。想象一下如果没有验证码恶意程序可以轻松地批量注册账号、刷票、暴力破解密码甚至发起DDoS攻击。在实际项目中我遇到过不少因为缺乏验证码保护而导致的安全事故。比如有个电商平台的优惠券领取接口被刷短短几分钟内就被领走了上万张优惠券。后来加上Kaptcha验证码后这类问题就再没出现过。验证码的类型有很多种传统字符验证码扭曲变形的字母数字组合算术验证码简单的加减乘除运算滑动验证码拖动滑块完成拼图行为验证码通过鼠标轨迹判断人类行为2. Kaptcha简介与工作原理Kaptcha是Google开源的一个验证码生成库它的特点是高度可配置。你可以调整验证码的字符数量字体样式和大小背景和文字颜色干扰线数量扭曲效果程度在SpringBoot项目中我们通常使用它的二次封装版本kaptcha-spring-boot-starter这个版本对SpringBoot做了专门适配使用起来更加方便。Kaptcha的工作原理其实很简单后端生成随机字符比如AB12根据配置将这些字符渲染成图片加入干扰线、扭曲等效果将原始字符存入Session将图片返回给前端展示用户输入后比对Session中的值和用户输入3. 项目环境搭建3.1 创建SpringBoot项目首先用你熟悉的IDE创建一个新的SpringBoot项目。我习惯使用IntelliJ IDEA创建时记得勾选这两个依赖Spring Web提供Web MVC支持Lombok简化Java Bean编写如果你已经有一个现成项目直接在pom.xml中添加以下依赖dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-web/artifactId /dependency dependency groupIdorg.projectlombok/groupId artifactIdlombok/artifactId optionaltrue/optional /dependency3.2 添加Kaptcha依赖在pom.xml中添加Kaptcha的SpringBoot Starterdependency groupIdcom.oopsguy.kaptcha/groupId artifactIdkaptcha-spring-boot-starter/artifactId version1.0.0-beta-2/version /dependency这个版本是我经过多个项目验证比较稳定的最新版本可以去GitHub查看。4. Kaptcha配置详解4.1 基础配置在application.yml中添加以下配置kaptcha: image: width: 120 # 图片宽度 height: 45 # 图片高度 textproducer: font: size: 30 # 字体大小 char: length: 4 # 字符数量 space: 3 # 字符间距 items: default: # 验证码生成器名称 path: /captcha # 访问路径 session: key: KAPTCHA_SESSION_KEY # session中存储的key date: KAPTCHA_SESSION_DATE # 验证码生成时间这些配置已经能满足大部分需求。如果你需要更复杂的验证码还可以配置字体颜色背景颜色干扰线数量字符扭曲程度4.2 高级配置示例下面是一个更复杂的配置示例生成带有算术运算的验证码kaptcha: image: width: 150 height: 50 textproducer: impl: com.example.MathTextCreator # 自定义文本生成器 font: names: Arial,宋体 # 字体 color: 0,100,200 # RGB颜色 size: 30 background: clear: from color: 240,240,240 # 背景色 noise: color: 150,150,150 # 干扰线颜色 items: math: path: /math-captcha session: key: MATH_KAPTCHA这里用到了自定义的文本生成器我们稍后会讲到如何实现。5. 后端代码实现5.1 验证码接口Kaptcha最方便的地方在于配置完成后不需要编写任何Controller代码就能直接通过配置的路径访问验证码。比如上面配置的/captcha路径访问它就能看到验证码图片。5.2 验证码校验接口我们需要自己编写验证码校验的逻辑RestController RequestMapping(/api) public class CaptchaController { PostMapping(/verify) public ResponseEntity? verifyCaptcha( RequestParam String code, HttpSession session) { String sessionCode (String) session.getAttribute(KAPTCHA_SESSION_KEY); Date generateTime (Date) session.getAttribute(KAPTCHA_SESSION_DATE); if (!StringUtils.hasText(code)) { return ResponseEntity.badRequest().body(验证码不能为空); } if (sessionCode null) { return ResponseEntity.status(401).body(验证码已过期); } if (!code.equalsIgnoreCase(sessionCode)) { return ResponseEntity.status(401).body(验证码错误); } // 验证通过后清除session中的验证码 session.removeAttribute(KAPTCHA_SESSION_KEY); session.removeAttribute(KAPTCHA_SESSION_DATE); return ResponseEntity.ok(验证通过); } }这段代码做了以下几件事从请求参数获取用户输入的验证码从Session中取出之前生成的验证码进行各种校验是否为空、是否过期、是否匹配验证通过后清除Session中的验证码防止重复使用5.3 自定义验证码文本生成器如果你想生成算术验证码可以创建一个自定义的文本生成器public class MathTextCreator extends DefaultTextCreator { Override public String getText() { Random random new Random(); int x random.nextInt(10); int y random.nextInt(10); int result x y; return x y ? result; } }这个生成器会创建类似35?的验证码用户需要输入8才能通过验证。6. 前端集成6.1 HTML页面创建一个简单的HTML页面来展示验证码!DOCTYPE html html head title验证码示例/title style .captcha-container { margin: 20px; } #captchaImage { cursor: pointer; border: 1px solid #ddd; vertical-align: middle; } #refreshBtn { margin-left: 10px; } /style /head body div classcaptcha-container input typetext idcaptchaInput placeholder请输入验证码 img idcaptchaImage src/captcha title点击刷新 button idrefreshBtn刷新/button button idsubmitBtn提交/button /div script srchttps://code.jquery.com/jquery-3.6.0.min.js/script script $(function() { // 点击刷新验证码 $(#captchaImage, #refreshBtn).click(function() { $(#captchaImage).attr(src, /captcha?t new Date().getTime()); }); // 提交验证 $(#submitBtn).click(function() { const code $(#captchaInput).val(); $.post(/api/verify, {code: code}) .done(function(res) { alert(res); }) .fail(function(err) { alert(err.responseJSON.message || 验证失败); // 验证失败后刷新验证码 $(#captchaImage).click(); }); }); }); /script /body /html6.2 关键点说明验证码刷新通过给图片URL添加时间戳参数来避免浏览器缓存错误处理验证失败后自动刷新验证码用户体验图片和按钮都可以点击刷新方便用户操作7. 常见问题与解决方案7.1 验证码不显示可能原因路径配置错误 - 检查application.yml中的path配置依赖冲突 - 尝试排除其他可能冲突的依赖静态资源过滤 - 确保SpringBoot没有过滤掉验证码路径7.2 Session获取不到在前后端分离项目中可能会遇到Session不一致的问题。解决方案确保前端请求携带了正确的Cookie考虑使用Redis等分布式Session方案或者改用token方式存储验证码7.3 验证码太简单被破解提升安全性建议增加字符长度6-8位使用算术验证码添加更复杂的干扰效果限制单位时间内的验证尝试次数8. 项目优化建议8.1 验证码过期时间可以在配置中添加验证码过期时间kaptcha: items: default: session: expire: 300 # 5分钟过期然后在校验时检查生成时间Date generateTime (Date) session.getAttribute(KAPTCHA_SESSION_DATE); if (generateTime ! null System.currentTimeMillis() - generateTime.getTime() 5 * 60 * 1000) { return 验证码已过期; }8.2 分布式环境适配在集群环境中Session需要共享。可以使用Redis添加Redis依赖dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-data-redis/artifactId /dependency配置Redis存储SessionConfiguration EnableRedisHttpSession public class RedisSessionConfig { // 使用默认配置即可 }8.3 验证码使用统计有时候我们需要知道验证码的使用情况。可以添加一个Filter来统计Component public class CaptchaFilter extends OncePerRequestFilter { Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String path request.getRequestURI(); if (path.contains(/captcha)) { // 记录验证码请求日志 log.info(验证码请求: {}, request.getRemoteAddr()); } filterChain.doFilter(request, response); } }9. 安全性增强9.1 防止暴力破解在Controller中添加尝试次数限制PostMapping(/verify) public ResponseEntity? verifyCaptcha( RequestParam String code, HttpSession session) { Integer tryCount (Integer) session.getAttribute(TRY_COUNT); if (tryCount null) { tryCount 0; } if (tryCount 5) { return ResponseEntity.status(429).body(尝试次数过多请稍后再试); } session.setAttribute(TRY_COUNT, tryCount 1); // ...原有验证逻辑... }9.2 验证码复杂度调整根据安全需求动态调整验证码复杂度Configuration public class KaptchaConfig { Bean ConditionalOnMissingBean public KaptchaProperties kaptchaProperties() { KaptchaProperties properties new KaptchaProperties(); // 根据环境变量设置不同复杂度 if (prod.equals(System.getenv(SPRING_PROFILES_ACTIVE))) { properties.getTextproducer().setCharLength(6); properties.getNoise().setImpl(com.google.code.kaptcha.impl.DefaultNoise); } else { properties.getTextproducer().setCharLength(4); properties.getNoise().setImpl(com.google.code.kaptcha.impl.NoNoise); } return properties; } }10. 实际项目中的经验分享在最近的一个电商项目中我们遇到了验证码被OCR识别破解的问题。经过多次尝试最终通过以下组合方案解决了问题动态难度根据IP的请求频率动态调整验证码难度行为验证添加简单的行为验证比如要求用户在3秒后才能提交限流措施对频繁请求的IP进行限流具体实现代码片段RestControllerAdvice public class CaptchaAdvice { Autowired private RedisTemplateString, String redisTemplate; ModelAttribute public void checkCaptchaRequest(HttpServletRequest request) { String ip request.getRemoteAddr(); String key CAPTCHA_REQ: ip; Long count redisTemplate.opsForValue().increment(key, 1); if (count 1) { redisTemplate.expire(key, 1, TimeUnit.MINUTES); } if (count 30) { throw new RateLimitException(请求过于频繁); } } }这个切面会对每个IP的验证码请求进行计数超过30次/分钟就拒绝服务。