摘要:設(shè)置驗證碼任何人都可以在我們的博客下發(fā)布評論�,所以我們需要避免非人類用戶來擾亂秩序。一個簡單的防范方法是設(shè)置驗證碼�。然后我們修改表單來顯示驗證碼,并把寫入隱藏的域里面��。檢查驗證碼功能是否完成了���。
設(shè)置驗證碼
任何人都可以在我們的博客下發(fā)布評論����,所以我們需要避免非人類用戶來擾亂秩序�����。一個簡單的防范方法是設(shè)置驗證碼�����。
生成驗證碼
如何利用Play框架來生成驗證碼?簡單來說�,我們需要增加一個action,不過讓它返回的是一個二進(jìn)制的對象而不是之前的HTML頁面���。
因為Play是一個全棧式框架�,我們試圖在框架內(nèi)部內(nèi)置了Web應(yīng)用通常所需的東西����;其中就包括生成驗證碼�。我們可以使用play.libs.Images 來簡單地生成驗證碼,然后通過HTTP響應(yīng)返回它�。
如常,我們先從一個原型開始����。在Applicantion 控制器中添加captcha action。
public static void captcha() {
Images.Captcha captcha = Images.captcha();
renderBinary(captcha);
}
注意我們可以直接傳遞captcha對象給renderBinary() ��,因為Images.Captcha類實現(xiàn)了java.io.InputStream ��。
請勿忘記 導(dǎo)入play.lib.*
現(xiàn)在向/yabe/conf/routes 添加新路由:
GET /captcha Application.captcha
然后打開http://localhost:9000/captcha看看效果��。
每次刷新時應(yīng)該會產(chǎn)生隨機(jī)的文字
我們怎樣管理狀態(tài)��?
目前為止事情順利,但是最復(fù)雜的部分就要來了����。要想驗證驗證碼,我們需要保存驗證碼圖片上的文字����,然后跟提交的表單進(jìn)行比對。
當(dāng)然我們可以把文字存儲在用戶會話中�,然后在驗證時再提取出來。但這樣做有兩個問題:
首先 ��,Play的會話是存儲在cookie里的���。這樣解決了一些架構(gòu)上的問題����,但是也引入一些麻煩�。寫入到cookie的數(shù)據(jù)是簽了名的,這樣用戶就不能修改它����;但是它并未加密。如果我們把驗證碼的內(nèi)容寫入cookie���,每個人都可以讀到它 —— 然后破解它�。
其次 ,不要忘了Play是一個無狀態(tài) 的框架�����。我們想要在無狀態(tài)的情況下管理事務(wù)�����。假如一個用戶同時打開兩個不同的博客頁面�����,生成了不同的驗證碼�,我們就需要跟蹤處理對應(yīng)的驗證碼����。
所以要想解決問題,我們需要兩樣?xùn)|西��。我們得在服務(wù)器存儲驗證碼的密鑰�。因為它是一個臨時數(shù)據(jù),我們可以存儲在Play緩存(Cache) 中�����。此外,這樣做還可以增加安全性����,因為存儲在緩存中的數(shù)據(jù)的生命期是有限的(比如10分鐘)。然后我們還需要生成獨(dú)一無二的ID �。這個ID將添加到每個表單的隱藏域中,對應(yīng)著一個生成的驗證碼����。
下面讓我們來解決這個問題吧。
修改captcha action成這樣:
public static void captcha(String id) {
Images.Captcha captcha = Images.captcha();
String code = captcha.getText("#E4EAFD");
Cache.set(id, code, "10mn");
renderBinary(captcha);
}
注意getText() 方法接受任意顏色作為參數(shù)����。它需要輸入的顏色來畫文本。
請勿忘記 導(dǎo)入play.cache.* �����。
添加驗證碼到評論框
現(xiàn)在��,在顯示一個評論框之前我們先生成一個獨(dú)一無二的ID��。然后我們修改HTML表單來顯示驗證碼�,并把ID寫入隱藏的域里面��。
讓我們重寫Application.show action:
public static void show(Long id) {
Post post = Post.findById(id);
String randomID = Codec.UUID();
render(post, randomID);
}
以及/yable/app/views/Application/show.html 模板中的表單:
…
Your message:
Please type the code below:
…
好棒��,現(xiàn)在評論框里能看到驗證碼了���。
驗證驗證碼
現(xiàn)在來驗證驗證碼吧。我們添加了randomID 作為隱藏域?qū)Π?�?那就?b>postComment里面把它提取出來��,然后取出緩存中對應(yīng)的編碼�,最后跟提交的輸入進(jìn)行比對。
這一點(diǎn)都不難�����。讓我們來修改postComment 方法�。
public static void postComment(
Long postId,
@Required(message="Author is required") String author,
@Required(message="A message is required") String content,
@Required(message="Please type the code") String code,
String randomID)
{
Post post = Post.findById(postId);
validation.equals(
code, Cache.get(randomID)
).message("Invalid code. Please type it again");
if(validation.hasErrors()) {
render("Application/show.html", post, randomID);
}
post.addComment(author, content);
flash.success("Thanks for posting %s", author);
Cache.delete(randomID);
show(postId);
}
因為現(xiàn)在有不同的錯誤信息,而我們只想顯示第一條信息�,所以修改show.html 模板中顯示錯誤的部分:
..
#{ifErrors}
${errors[0]}
#{/ifErrors}
…
對于一個更加復(fù)雜的表單�,錯誤信息不應(yīng)該這樣管理,而應(yīng)該集中到一個訊息文件中���,并且每個錯誤都應(yīng)該在對應(yīng)的區(qū)域內(nèi)顯示��。
檢查驗證碼功能是否完成了�。
耶!
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/64100.html
