文章来源于 http://www.jianshu.com/p/9dac08a5bb14
编者语
第一次看到简书上的验证码,简直高大上,很是羡慕。但今日在看了laravelacadmy,laravel学院的时候,看到一片文章《极验(Geetest),让验证更安全》,讲的就是滑动验证码,于是开始试验,在入坑多次之后,终于试验成功。于是,就写这份笔记,以便以后的使用。
《极验(Geetest),让验证更安全》
laravel-geetest扩展包
开始
注册极简帐号:http://account.geetest.com/
添加一个验证,获取一个ID和KEY。
Laravel部署
安装一个Laravel的极简验证的集成包
composer require germey/geetest
注册服务与设置别名(config/app.php)
于provider数组中添加服务
Germey\Geetest\GeetestServiceProvider::class,
配置ID和KEY
可以在.env中配置,也可以在config/geetest.php中配置。笔者是在.env中添加了两行信息,如下:
GEETEST_ID=获取的ID
GEETEST_KEY=获取的KEY
密钥的生成地址
验证码的生成步骤:当加载登陆页面时,会自执行ajax请求一个后台的地址,会在后台生成一个密钥,返回给前台,前台会依据此密钥再去请求Geetest的一个接口,依据Geetest返回的信息生成验证码。
这个后台的地址默认为/auth/geetest;所以你需要在Auth控制器中进行相应的配置。
# AuthController.php
use Germey\Geetest\CaptchaGeetest;
class AuthController extends Controller
{
use CaptchaGeetest;
......
}
有人可能纳闷使用的CaptchaGeetest.php文件到底是什么?它其实就是一个可以继承的一个方法,trait大大提高了代码的重用性,他可以放在任何类中。如下所示。
# CaptchaGeetest.php
<?php namespace Germey\Geetest;
trait CaptchaGeetest
{
/**
* Get geetest.
*/
public function getGeetest()
{
$user_id = "test";
$status = Geetest::preProcess($user_id);
session()->put('gtserver', $status);
session()->put('user_id', $user_id);
echo Geetest::getResponseStr();
}
}
请求地址/auth/geetest可以在config/geetest.php进行查看和修改。
路由设置
默认请求地址为/auth/geetest,那么我们的路由就这样设置。
Route::get('auth/geetest','Auth\AuthController@getGeetest');
当然,我们也可以进行更改默认的访问地址和默认使用的控制器。
后台的复核验证
这个验证码的验证会在前台进行自动验证,这个无需管。但为了更安全,我们可以在后台进行二次验证。笔者重新建立一个控制器,用于做验证。
# 前台模板
<div class="content">
<h1>极简后端测试</h1>
<form action="/login" method="post">
<input name="_token" type="hidden" value="{{ csrf_token() }}">
帐号:<input type="text" name="name"><br><br>
密码:<input type="password" name="password"><br><br>
{!! Geetest::render('embed') !!} <br><br>
<input type="submit" value="submit">
</form>
</div>
# LoginController.php
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use App\Http\Requests;
use Illuminate\Support\Facades\Config;
class LoginController extends Controller
{
public function index(Request $request)
{
$result = $this->validate(
$request,
['geetest_challenge' => 'geetest'],
['geetest' => Config::get('geetest.server_fail_alert')]
);
if ($request) {
return 'success';
}
}
}
利用 validate 方法,通过验证其中一个字段 geetest_challenge, 验证规则 geetest 就可以完成服务端的验证。这样就更保证了安全性。
在这里注意,由于多提交了几个字段,如果想执行 ORM 的批量插入修改操作时,记得在 Model 里面屏蔽这几个字段
protected $guarded = ['geetest_challenge', 'geetest_validate', 'geetest_seccode'];
当然,还包含多种验证,笔者没再一一测试,如果想要更多学习,可以参考官方文档。
image.png
网友评论