设置验证码
任何人都可以在我们的博客下发布评论,所以我们需要避免非人类用户来扰乱秩序。一个简单的防范方法是设置验证码。
生成验证码
如何利用Play框架来生成验证码?简单来说,我们需要增加一个action,不过让它返回的是一个二进制的对象而不是之前的HTML页面。
因为Play是一个全栈式框架,我们试图在框架内部内置了Web应用通常所需的东西;其中就包括生成验证码。我们可以使用play.libs.Images来简单地生成验证码,然后通过HTTP响应返回它。
如常,我们先从一个原型开始。在Applicantion控制器中添加captcha action。
public static void captcha() {
Images.Captcha captcha = Images.captcha();
renderBinary(captcha);
}
注意我们可以直接传递captcha对象给renderBinary(),因为Images.Captcha类实现了java.io.InputStream。
请勿忘记导入
play.lib.*
现在向/yabe/conf/routes添加新路由:
GET /captcha Application.captcha
然后打开http://localhost:9000/captcha看看效果。
每次刷新时应该会产生随机的文字
我们怎样管理状态?
目前为止事情顺利,但是最复杂的部分就要来了。要想验证验证码,我们需要保存验证码图片上的文字,然后跟提交的表单进行比对。
当然我们可以把文字存储在用户会话中,然后在验证时再提取出来。但这样做有两个问题:
首先,Play的会话是存储在cookie里的。这样解决了一些架构上的问题,但是也引入一些麻烦。写入到cookie的数据是签了名的,这样用户就不能修改它;但是它并未加密。如果我们把验证码的内容写入cookie,每个人都可以读到它 —— 然后破解它。
其次,不要忘了Play是一个无状态的框架。我们想要在无状态的情况下管理事务。假如一个用户同时打开两个不同的博客页面,生成了不同的验证码,我们就需要跟踪处理对应的验证码。
所以要想解决问题,我们需要两样东西。我们得在服务器存储验证码的密钥。因为它是一个临时数据,我们可以存储在Play缓存(Cache)中。此外,这样做还可以增加安全性,因为存储在缓存中的数据的生命期是有限的(比如10分钟)。然后我们还需要生成独一无二的ID。这个ID将添加到每个表单的隐藏域中,对应着一个生成的验证码。
下面让我们来解决这个问题吧。
修改captcha action成这样:
public static void captcha(String id) {
Images.Captcha captcha = Images.captcha();
String code = captcha.getText("#E4EAFD");
Cache.set(id, code, "10mn");
renderBinary(captcha);
}
注意getText()方法接受任意颜色作为参数。它需要输入的颜色来画文本。
请勿忘记导入
play.cache.*。
添加验证码到评论框
现在,在显示一个评论框之前我们先生成一个独一无二的ID。然后我们修改HTML表单来显示验证码,并把ID写入隐藏的域里面。
让我们重写Application.show action:
public static void show(Long id) {
Post post = Post.findById(id);
String randomID = Codec.UUID();
render(post, randomID);
}
以及/yable/app/views/Application/show.html模板中的表单:
…
<p>
<label for="content">Your message: </label>
<textarea name="content" id="content">${params.content}</textarea>
</p>
<p>
<label for="code">Please type the code below: </label>
<img src="@{Application.captcha(randomID)}" />
<br />
<input type="text" name="code" id="code" size="18" value="" />
<input type="hidden" name="randomID" value="${randomID}" />
</p>
<p>
<input type="submit" value="Submit your comment" />
</p>
…
好棒,现在评论框里能看到验证码了。
验证验证码
现在来验证验证码吧。我们添加了randomID作为隐藏域对吧?那就在postComment里面把它提取出来,然后取出缓存中对应的编码,最后跟提交的输入进行比对。
这一点都不难。让我们来修改postComment方法。
public static void postComment(
Long postId,
@Required(message="Author is required") String author,
@Required(message="A message is required") String content,
@Required(message="Please type the code") String code,
String randomID)
{
Post post = Post.findById(postId);
validation.equals(
code, Cache.get(randomID)
).message("Invalid code. Please type it again");
if(validation.hasErrors()) {
render("Application/show.html", post, randomID);
}
post.addComment(author, content);
flash.success("Thanks for posting %s", author);
Cache.delete(randomID);
show(postId);
}
因为现在有不同的错误信息,而我们只想显示第一条信息,所以修改show.html模板中显示错误的部分:
..
#{ifErrors}
<p class="error">
${errors[0]}
</p>
#{/ifErrors}
…
对于一个更加复杂的表单,错误信息不应该这样管理,而应该集中到一个讯息文件中,并且每个错误都应该在对应的区域内显示。
检查验证码功能是否完成了。
耶!
java
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。