一、认证码的含义
认证码是近来网站流行使用的一种技术,它的目的是保证登录网站的是人而不是程序,防止某些人利用程序自动登录网站下载资料,过多占用网络带宽和服务器资源。
采用认证码技术的登录界面一般如下:
登录网站时,系统会以图象的形式显示一个认证码(通常是数字),并要求用户输入这个认证码,二者相符时,用户将成功登录系统,否则系统将提示出错信息。
二、认证码技术原理
下面是认证码技术用例图:
如上图,在认证码技术中,系统角色的作用是产生认证码图象、记录认证码之值和比较认证码,而用户角色只负责输入认证码,供系统验证使用。
实现认证码技术,需要以下几方面的预备:
1.生成认证码:
我们可以让系统随机产生一个数字来作为认证码,这方面在javascript脚本语言和Java语言中均可得以实现。前者可以用Math.random()得到一个介于0与1之间的小数,用它乘以10000再取整数部分,即可得到0至9999之间的随机数。后者可以用Random类的nextInt(N)方法得到一个介于0至N-1之间的随机类。
在实现时,我们采用了前者,即用Javascript生成的随机数作为认证码。主要原因是Javascript是Html内置的脚本语言,不管页面是前进、后退还是刷新,都能保证及时产生新的认证码,增加了随机性。而用JAVA实现时,则不具备此特性,浏览器还保存原先的认证码,随机性不强。
2.生成认证码图象:
这是比较要害的部分。幸运的是,JAVA语言给我们提供了强大的支持。我们可以利用BufferedImage类在内存中绘制图象,并可利用ImageIO类将图象输出到jsp页面中。在绘制图象时,我们就可以将随机产生的认证码,绘制到图象中,进而展现在用户面前。另,为了增加破译的难度,我们可以随机画一些点。
3.保存认证码:
在JSP语言中,我们可以充分利用该语言内置的session对象来保存认证码之值,方法是:session.setAttribute("认证码名字",认证码之值)。并可用session.getAttribute("认证码名字")得到系统保存的认证码之值,用来和用户输入的认证码相比较,很是方便。
三、认证码技术的JSP实现
1.image.jsp
这个JSP程序的功能是:根据页面参数rand生成相应的认证码图象,同时设定SESSION变量rand,以便check.jsp验证用户输入的认证码时使用。
源程序如下:
2.a.jsp
这个JSP程序的功能是:显示认证码,提供表单让用户输入认证码供校验用。注重,程序中显示认证码图象时,用了Javascript的document.write,并用了Math.random函数,从而保证了认证码的及时更新特性。
源程序如下:
3.check.jsp
这个JSP程序的作用是比较用户输入的认证码与SESSION变量中保存的认证码,相同时提示认证成功,否则提示认证失败。
源程序如下:
四、测试
测试用的Web服务器是Tomcat4.1。将image.jsp、a.jsp和check.jsp拷贝到ROOT目录下,启动Tomcat服务器,在IE浏览器地址栏输入http://localhost:8080/a.jsp即可出现如下画面:
系统随机产生认证码6986,输入6986,单击"提交检测",将出现如下画面:
按"后退"键,系统又随机产生了一个认证码:
输入认证码1111,单击"提交检测",会出现以下错误画面:
小结:认证码是一项相对简单而实用的技术,为我们保证登录网站用户的合法性提供了有力的保障,随着时间的推移,相信会有越来越多的网站采用这种技术的。