从构建分布式秒杀系统聊聊验证码
2019獨角獸企業重金招聘Python工程師標準>>>
前言
為了攔截大部分請求,秒殺案例前端引入了驗證碼。淘寶上很多人吐槽,等輸入完秒殺活動結束了,對,結束了...... 當然了,驗證碼的真正作用是,有效攔截刷單操作,讓羊毛黨空手而歸。
驗證碼
如果想學習Java工程化、高性能及分布式、深入淺出。微服務、Spring,MyBatis,Netty源碼分析的朋友可以加我的Java高級交流:854630135,群里有阿里大牛直播講解技術,以及Java大型互聯網技術的視頻免費分享給大家。
那么到底什么是驗證碼呢?驗證碼作為一種人機識別手段,其終極目的,就是區分正常人和機器的操作。我們常見的互聯網注冊、登錄、發帖、領優惠券、投票等等應用場景,都有被機器刷造成各類損失的風險。
目前常見的驗證碼形式多為圖片驗證碼,即數字、字母、文字、圖片物體等形式的傳統字符驗證碼。這類驗證碼看似簡單易操作,但實際用戶體驗較差(參見12306網站),且隨著OCR技術和打碼平臺的利用,圖片比較容易被破解,被破解之后就形同虛設。
這里我們使用騰訊的智能人機安全驗證碼,告別傳統驗證碼的單點防御,十道安全柵欄打造立體全面的安全驗證,將黑產拒之門外。
場景
?
下面我們來瞅瞅驗證碼輕松解決了那些場景安全問題:
- 登錄注冊,為你防護撞庫攻擊、阻止注冊機批量注冊
- 活動秒殺,有效攔截刷單操作,讓羊毛黨空手而歸
- 點贊發帖,有效解決廣告屠版、惡意灌水、刷票問題
- 數據保護,防止自動機、爬蟲盜取網頁內容和數據
申請
申請地址:https://007.qq.com/product.html
在線體驗:https://007.qq.com/online.html
只要一個QQ就可以免費申請,對于一般的企業OA系統或者個人博客網站,驗證碼免費套餐足夠了已經,具備以下特點:
- 2000次/小時安全防護
- 支持免驗證+分級驗證
- 三分鐘快速接入
- 全功能配置后臺
- 支持HTTPS
- 閾值內流量無廣告
2000次/小時的安全防護,一般很少達到如此效果,當然了即時超出閾值,頂多也就是多個廣告而已。
接入
快讀接入:https://007.qq.com/quick-start.html
接入與幫助提供了多種客戶端和服務端的接入案例,這里我們使用我們秒殺案例中最熟悉的Java語言來接入。
前端
引入JS:
? <script src="https://ssl.captcha.qq.com/TCaptcha.js"></script>頁面元素:
? <!--點擊此元素會自動激活驗證碼,不一定是button,其他標簽也可以--> <!--id : 元素的id(必須)--> <!--data-appid : AppID(必須)--> <!--data-cbfn : 回調函數名(必須)--> <!--data-biz-state : 業務自定義透傳參數(可選)--> <button id="TencentCaptcha" data-appid="*********" data-cbfn="callback">驗證</button>JS回調:
? <script type="text/javascript"> window.callback = function(res){ console.log(res) // res(未通過驗證)= {ret: 1, ticket: null} // res(驗證成功) = {ret: 0, ticket: "String", randstr: "String"} if(res.ret === 0){ startSeckill(res) } } //后臺驗證ticket,并進入秒殺隊列 function startSeckill(res){ $.ajax({ url : "startSeckill", type : 'post', data : {'ticket' : res.ticket,'randstr':res.randstr}, success : function(result) { //驗證是否通過,提示用戶 } }); } </script>后端
? @Api(tags = "秒殺商品") @RestController @RequestMapping("/seckillPage") public class SeckillPageController { @Autowired private ActiveMQSender activeMQSender; //自定義工具類 @Autowired private HttpClient httpClient; //這里自行配置參數 @Value("${qq.captcha.url}") private String url; @Value("${qq.captcha.aid}") private String aid; @Value("${qq.captcha.AppSecretKey}") private String appSecretKey; @RequestMapping("/startSeckill") public Result startSeckill(String ticket,String randstr,HttpServletRequest request) { HttpMethod method =HttpMethod.POST; MultiValueMap<String, String> params= new LinkedMultiValueMap<String, String>(); params.add("aid", aid); params.add("AppSecretKey", appSecretKey); params.add("Ticket", ticket); params.add("Randstr", randstr); params.add("UserIP", IPUtils.getIpAddr(request)); String msg = httpClient.client(url,method,params); /** * response: 1:驗證成功,0:驗證失敗,100:AppSecretKey參數校驗錯誤[required] * evil_level:[0,100],惡意等級[optional] * err_msg:驗證錯誤信息[optional] */ //{"response":"1","evil_level":"0","err_msg":"OK"} JSONObject json = JSONObject.parseObject(msg); String response = (String) json.get("response"); if("1".equals(response)){ //進入隊列、假數據而已 Destination destination = new ActiveMQQueue("seckill.queue"); activeMQSender.sendChannelMess(destination,1000+";"+1); return Result.ok(); }else{ return Result.error("驗證失敗"); } } }自定義請求工具類 HttpClient:
如果想學習Java工程化、高性能及分布式、深入淺出。微服務、Spring,MyBatis,Netty源碼分析的朋友可以加我的Java高級交流:854630135,群里有阿里大牛直播講解技術,以及Java大型互聯網技術的視頻免費分享給大家。
? @Service public class HttpClient { public String client(String url, HttpMethod method, MultiValueMap<String, String> params){ RestTemplate client = new RestTemplate(); HttpHeaders headers = new HttpHeaders(); // 請勿輕易改變此提交方式,大部分的情況下,提交方式都是表單提交 headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED); HttpEntity<MultiValueMap<String, String>> requestEntity = new HttpEntity<MultiValueMap<String, String>>(params, headers); // 執行HTTP請求 ResponseEntity<String> response = client.exchange(url, HttpMethod.POST, requestEntity, String.class); return response.getBody(); } }獲取IP地址工具類 IPUtils :
? /** * IP地址 */ public class IPUtils { private static Logger logger = LoggerFactory.getLogger(IPUtils.class); /** * 獲取IP地址 * 使用Nginx等反向代理軟件, 則不能通過request.getRemoteAddr()獲取IP地址 * 如果使用了多級反向代理的話,X-Forwarded-For的值并不止一個,而是一串IP地址,X-Forwarded-For中第一個非unknown的有效IP字符串,則為真實IP地址 */ public static String getIpAddr(HttpServletRequest request) { String ip = null; try { ip = request.getHeader("x-forwarded-for"); if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (StringUtils.isEmpty(ip) || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("HTTP_CLIENT_IP"); } if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("HTTP_X_FORWARDED_FOR"); } if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } } catch (Exception e) { logger.error("IPUtils ERROR ", e); } // 使用代理,則獲取第一個IP地址 if (StringUtils.isEmpty(ip) && ip.length() > 15) { if (ip.indexOf(",") > 0) { ip = ip.substring(0, ip.indexOf(",")); } } return ip; } }案例效果圖
啟動項目訪問:http://localhost:8080/seckill/1000.shtml
?
?
定制接入
在系統登錄的時候,我們需要先校驗用戶名以及密碼,然后調用驗證碼操作,這里就需要我們定制接入了。
? <!-- 項目中使用了Vue --> <div class="log_btn" @click="login" >登錄</div> login: function () { //這里校驗用戶名以及密碼 // 直接生成一個驗證碼對象 var captcha = new TencentCaptcha('2001344788', function(res) { if(res.ret === 0){//回調成功 var data = {'username':username,'password':password,'ticket':res.ticket,'randstr':res.randstr} $.ajax({ type: "POST", url: "sys/loginCaptcha", data: data, dataType: "json", success: function(result){ //校驗是否成功 } }); } }); captcha.show(); // 顯示驗證碼 },后臺監控
騰訊后臺還提供了簡單實用的數據監控,如下:
?
歡迎工作一到八年的Java工程師朋友們加入Java高級交流:854630135
本群提供免費的學習指導 架構資料 以及免費的解答
不懂得問題都可以在本群提出來 之后還會有直播平臺和講師直接交流噢
轉載于:https://my.oschina.net/u/3990817/blog/3021277
《新程序員》:云原生和全面數字化實踐50位技術專家共同創作,文字、視頻、音頻交互閱讀總結
以上是生活随笔為你收集整理的从构建分布式秒杀系统聊聊验证码的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PDMan-2.1.3 发布:用心开源,
- 下一篇: 第二十二章:动画(十四)