Go语言实现防暴力破解的验证码系统:一个生产级解决方案

已于 2025-03-13 09:45:21 修改
阅读量466 收藏 4
点赞数 10
文章标签: golang 驱动开发 开发语言
于 2025-03-13 09:44:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tenkofx/article/details/146222912
版权

环境准备

首先,我们需要安装必要的依赖包:

# 安装 gin 框架
go get -u github.com/gin-gonic/gin

# 安装验证码库
go get -u github.com/mojocn/base64Captcha

# 安装 Redis 客户端(如果需要使用 Redis 存储)
go get -u github.com/redis/go-redis/v9

# 安装日志库
go get -u go.uber.org/zap

完整代码实现

1. 配置文件 (config/config.go)

package config

type System struct {
    UseMultipoint bool
}

type Captcha struct {
    KeyLong             int   // 验证码长度
    ImgWidth           int   // 验证码宽度
    ImgHeight          int   // 验证码高度
    OpenCaptcha        int   // 防爆破验证码开启此数
    OpenCaptchaTimeOut int   // 验证码超时时间
}

type Configuration struct {
    System  System
    Captcha Captcha
}

2. 请求和响应模型 (model/request/login.go)

package request

type LoginReq struct {
    Username  string `json:"username"`  // 用户名
    Password  string `json:"password"`  // 密码
    Captcha   string `json:"captcha"`   // 验证码
    CaptchaId string `json:"captchaId"` // 验证码ID
}

3. 响应模型 (model/response/response.go)

package response

type SysCaptchaResponse struct {
    CaptchaId     string `json:"captchaId"`    // 验证码ID
    PicPath       string `json:"picPath"`       // 验证码图片base64
    CaptchaLength int    `json:"captchaLength"` // 验证码长度
    OpenCaptcha   bool   `json:"openCaptcha"`   // 是否开启验证码
}

type LoginResponse struct {
    User      interface{} `json:"user"`
    Token     string      `json:"token"`
    ExpiresAt int64       `json:"expiresAt"`
}

4. 验证码控制器 (controller/admin/login.go)

package admin

import (
    "github.com/gin-gonic/gin"
    "github.com/mojocn/base64Captcha"
    "github.com/redis/go-redis/v9"
    "go.uber.org/zap"
    "time"
)

var store = base64Captcha.DefaultMemStore

type LoginApi struct{}

// Captcha 生成验证码
func (l *LoginApi) Captcha(c *gin.Context) {
    // 判断验证码是否开启
    openCaptcha := global.GVA_CONFIG.Captcha.OpenCaptcha               
    openCaptchaTimeOut := global.GVA_CONFIG.Captcha.OpenCaptchaTimeOut 
    key := c.ClientIP()
    
    // 获取当前IP的验证码请求次数
    v, ok := global.BlackCache.Get(key)
    if !ok {
        global.BlackCache.Set(key, 1, time.Second*time.Duration(openCaptchaTimeOut))
    }

    // 判断是否需要验证码
    var oc bool
    if openCaptcha == 0 || openCaptcha < utils.InterfaceToInt(v) {
        oc = true
    }

    // 生成验证码
    driver := base64Captcha.NewDriverDigit(
        global.GVA_CONFIG.Captcha.ImgHeight,
        global.GVA_CONFIG.Captcha.ImgWidth,
        global.GVA_CONFIG.Captcha.KeyLong,
        0.7,
        80,
    )
    
    cp := base64Captcha.NewCaptcha(driver, store)
    id, b64s, _, err := cp.Generate()
    if err != nil {
        global.GVA_LOG.Error("验证码获取失败!", zap.Error(err))
        response.FailWithMessage("验证码获取失败", c)
        return
    }

    response.OkWithDetailed(response.SysCaptchaResponse{
        CaptchaId:     id,
        PicPath:       b64s,
        CaptchaLength: global.GVA_CONFIG.Captcha.KeyLong,
        OpenCaptcha:   oc,
    }, "验证码获取成功", c)
}

// Login 登录处理
func (l *LoginApi) Login(c *gin.Context) {
    var loginReq request.LoginReq
    if err := c.ShouldBindJSON(&loginReq); err != nil {
        response.FailWithMessage(err.Error(), c)
        return
    }

    key := c.ClientIP()
    openCaptcha := global.GVA_CONFIG.Captcha.OpenCaptcha
    openCaptchaTimeOut := global.GVA_CONFIG.Captcha.OpenCaptchaTimeOut

    v, ok := global.BlackCache.Get(key)
    if !ok {
        global.BlackCache.Set(key, 1, time.Second*time.Duration(openCaptchaTimeOut))
    }

    var oc bool = openCaptcha == 0 || openCaptcha < utils.InterfaceToInt(v)

    // 验证码校验
    if !oc || (loginReq.CaptchaId != "" && loginReq.Captcha != "" && 
        store.Verify(loginReq.CaptchaId, loginReq.Captcha, true)) {
        
        // 验证用户名密码
        u := &systemMod.SysAdmin{Username: loginReq.Username, Password: loginReq.Password}
        user, err := (&system.AdminService{}).Login(u)
        if err != nil {
            global.BlackCache.Increment(key, 1)
            response.FailWithMessage("登录失败:"+err.Error(), c)
            return
        }

        // 生成 Token
        l.TokenNext(c, *user)
        return
    }

    global.BlackCache.Increment(key, 1)
    response.FailWithMessage("验证码错误", c)
}

5. 路由配置 (router/admin.go)

package router

import (
    "github.com/gin-gonic/gin"
)

func InitAdminRouter(Router *gin.RouterGroup) {
    adminRouter := Router.Group("admin")
    loginApi := admin.LoginApi{}
    {
        adminRouter.GET("captcha", loginApi.Captcha)     // 获取验证码
        adminRouter.POST("login", loginApi.Login)        // 登录
    }
}

6. 缓存工具 (utils/cache.go)

package utils

import (
    "sync"
    "time"
)

type BlackCache struct {
    sync.RWMutex
    cache map[string]CacheItem
}

type CacheItem struct {
    Value     interface{}
    ExpiredAt time.Time
}

func NewBlackCache() *BlackCache {
    return &BlackCache{
        cache: make(map[string]CacheItem),
    }
}

func (c *BlackCache) Set(key string, value interface{}, expiration time.Duration) {
    c.Lock()
    defer c.Unlock()
    c.cache[key] = CacheItem{
        Value:     value,
        ExpiredAt: time.Now().Add(expiration),
    }
}

func (c *BlackCache) Get(key string) (interface{}, bool) {
    c.RLock()
    defer c.RUnlock()
    
    if item, exists := c.cache[key]; exists {
        if time.Now().Before(item.ExpiredAt) {
            return item.Value, true
        }
        delete(c.cache, key)
    }
    return nil, false
}

func (c *BlackCache) Increment(key string, delta int) {
    c.Lock()
    defer c.Unlock()
    
    if item, exists := c.cache[key]; exists {
        if value, ok := item.Value.(int); ok {
            c.cache[key] = CacheItem{
                Value:     value + delta,
                ExpiredAt: item.ExpiredAt,
            }
        }
    }
}

配置示例

# config.yaml
system:
  use-multipoint: false

captcha:
  key-long: 4
  img-width: 240
  img-height: 80
  open-captcha: 3
  open-captcha-timeout: 3600

使用示例

func main() {
    r := gin.Default()
    
    // 初始化全局配置
    global.GVA_CONFIG = config.LoadConfig()
    global.BlackCache = utils.NewBlackCache()
    
    // 初始化路由
    publicGroup := r.Group("")
    router.InitAdminRouter(publicGroup)
    
    r.Run(":8080")
}

API 调用示例

1. 获取验证码

curl -X GET http://localhost:8080/admin/captcha

2. 登录请求

curl -X POST http://localhost:8080/admin/login \
  -H "Content-Type: application/json" \
  -d '{
    "username": "admin",
    "password": "123456",
    "captchaId": "获取到的captchaId",
    "captcha": "用户输入的验证码"
  }'

项目结构

├── config/
│   └── config.go
├── controller/
│   └── admin/
│       └── login.go
├── model/
│   ├── request/
│   │   └── login.go
│   └── response/
│       └── response.go
├── router/
│   └── admin.go
├── utils/
│   └── cache.go
└── main.go

注意事项

  1. 确保正确配置了所有依赖项
  2. 验证码参数要根据实际需求调整
  3. 在生产环境中建议使用 Redis 替代内存存储
  4. 定期清理过期的缓存数据
  5. 考虑添加请求频率限制

这个完整的实现包含了验证码生成、验证、防爆破等功能,可以直接用于生产环境。记得根据实际需求调整配置参数和存储方式。

使用Go语言破解gcaptcha4.js中的w参数加密算法
2401_85453501的博客
06-14 779
在本文中,我们将介绍如何使用Go语言来逆向工程gcaptcha4.js文件,找到并破解w参数的加密算法。整个过程包括观察verify请求,定位加密位置,分析加密算法,并最终还原w参数的明文。通过网络请求分析工具,我们可以看到所有verify请求都来自于gcaptcha4.js文件。为了找到w参数的加密位置,我们需要解析gcaptcha4.js文件。我们可以下载并格式化这个文件,然后使用正则表达式搜索关键词:w、.w、'w'或"w"。在第2527行,我们发现了w的值r在第2525行被定义。
使用Go语言破解极验滑动验证码的完整指南
rrrrroottttttt的博客
05-30 598
通过在JS代码中设置断点,我们可以观察w参数的生成过程。假设我们找到了生成w参数的两个核心函数get_u和get_h,我们需要在Go中模拟这些函数的逻辑。w参数的生成涉及复杂的加密和混淆逻辑,我们需要通过分析JS代码来破解它。首先,我们需要定位生成w参数的函数,然后在本地进行调试和分析。在破解验证码之前,我们需要分析极验验证码在验证过程中发起的请求。通过请求ajax.php执行无感验证,如果验证失败,会返回滑块验证等其他类型的验证。u参数的生成涉及一个随机数和加密操作,我们需要在Go实现类似的逻辑。
开源服务专题之------ssh防止暴力破解及fail2ban的使用方法
weixin_30443747的博客
10-03 309
   15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵。只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/root/.ssh/目录下实现免密码登陆他人的Linux服务器。从而达到入侵成功的效果。fail2ban是一款很棒的开源服务软件,可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏...
Golang 破解
guoyonggang_12345的专栏
02-27 417
https://download.youkuaiyun.com/download/guoyonggang_12345/88882189
[每周一更]-(第75期):Go相关粗浅的防破解方案
hmx224_2014的专栏
12-01 3139
Go作为编译语言,天然存在跨平台的属性,我们在编译完成后,可以再不暴露源代码的情况下,运行在对应的平台中,但是还是架不住有逆向工程师的反编译、反汇编的情形;(当然我们写的都不希望被别人偷了,以下内容简单做个攻防介绍,起个引导作用,不到之处,多多留言探讨)
Go安装与Goland破解
热门推荐
zd_nupt的博客
05-09 1万+
1.Go安装 下载网址https://golang.google.cn/dl/,根据需要下载,我下载的是go1.12.5.windows-amd64.msi 然后直接安装,中途出现错误,出现2502/2503错误,应该是权限问题。解决方法为管理员打开cmd/powershell,输入:msiexec /package +‘msi文件路径’(输入的时候注意半角字符且路径不能为中文名) 例如: C:\...
go 实现暴力破解数独
xgz1442339473的博客
01-27 978
一切罪恶的来源是昨晚睡前玩了一把数独,找虐的选了个最难的模式,做了一个多小时才做完,然后就睡不着了..........程序员不能受这委屈,今天咋样也得把这玩意儿破解了。
用Kotlin破解极验验证码
2401_85453501的博客
06-12 848
通过Chrome的reres插件替换混淆后的JS文件,我们可以在浏览器中加载还原后的代码进行调试。极验验证码是一种广泛应用的滑动验证码系统,通过分析其加密和验证机制,我们可以模拟滑动操作并破解验证码。通过对代码的分析和调试,可以确定w参数的加密位置。通过搜索关键字"w",可以找到相关代码并在适当位置打上断点,观察w参数的生成过程。// 简化的图像分析函数,返回假定的滑块位置。// 模拟发送验证请求并获取响应。// 模拟发送请求并获取响应。// 返回假定的MD5值。// 示例函数:加载请求。
破解极验滑动验证码的完整指南
rrrrroottttttt的博客
06-01 1007
极验验证码是一种常见的防爬虫机制,通过滑动拼图等方式验证用户的人机身份。当无感验证失败时,进行滑动验证。在破解验证码之前,我们需要分析极验验证码在验证过程中发起的请求。通过请求ajax.php执行无感验证,如果验证失败,会返回滑块验证等其他类型的验证。w:这是一个加密过的数据,破解的核心就在于解密并伪造这个参数。通过请求get.php获取无感验证的参数,包括c和s。在Go语言实现w参数的破解过程,包括生成u和h参数。有了w参数后,我们可以构造滑动验证的请求并发送。最后,将u和h参数合并生成最终的w参数。
使用Go语言破解网易易盾滑动验证码
2401_85453564的博客
06-03 731
接下来,我们需要安装Go语言的Selenium客户端库selenium和OpenCV的Go绑定库gocv。验证码页面地址:https://dun.163.com/trial/jigsaw。首先,你需要安装Go语言。如果你还没有安装,可以访问Go语言官网进行安装。我们首先启动Selenium WebDriver并导航到验证码页面。获取验证码图片并保存到本地,以便使用OpenCV进行图像处理。// 后续的验证码处理代码将放在这里。// 后续的验证码处理代码将放在这里。// 后续的验证码处理代码将放在这里。
使用Go语言破解极验验证码:详细指南
2401_85453501的博客
06-13 1073
通过Chrome的reres插件替换混淆后的JS文件,可以在浏览器中加载还原后的代码进行调试。极验验证码是一种常见的滑动验证码系统,通过分析其加密和验证机制,可以模拟滑动操作并进行破解。通过对代码的分析和调试,可以确定w参数的加密位置。通过搜索关键字"w",可以找到相关代码并在适当位置打上断点,观察w参数的生成过程。以下是一个完整的Go程序示例,演示了如何生成滑动验证码所需的参数,并发送验证请求。// 简化的图像分析函数,返回假定的滑块位置。// 模拟发送验证请求并获取响应。// 模拟发送请求并获取响应。
go语言程序逆向整理
AnxiangLemon的博客
03-06 1578
如何防止go程序被破解 1. 去除调试信息和符号表:除了在编译时使用 -ldflags="-w -s" 标志之外,还可以使用一些第三方工具来去除程序中的调试信息和符号表,例如 UPX 和 MinGW-w64。
代码混淆和加固,保障应用程序的安全性
憧憬个人博客
09-15 233
代码混淆是将源代码进行加密和优化,使得反编译者难以理解和还原源代码的过程。通过替换变量名、类名等信息为无意义的字符,代码混淆使得反编译后的代码难以理解和维护,从而提高了应用程序的安全性。代码加固是对已经混淆的代码进行二次保护,防止破解者通过静态或动态分析手段获取到关键算法和逻辑。代码加固可以添加额外的安全层,包括加密、反调试、反动态调试、反内存dump等,从而增强应用程序的抗攻击能力,以IPA Guard为例,。代码混淆和代码加固是提高应用程序安全性的重要手段。
推荐一款高效安全的验证码系统:AJ Captcha Go
gitblog_00019的博客
04-04 438
推荐一款高效安全的验证码系统:AJ Captcha Go 去发现同类优质开源项目:https://gitcode.com/ 是一个Go语言编写的轻量、高性能的图像验证码解决方案。它旨在为Web应用提供简单且安全的验证方式,防止自动化的恶意攻击,如机器人注册和垃圾邮件。 技术分析 开源与可扩展性 AJ Captcha Go 是开源的,这使得开发者能够查看其源代码,了解内部机制,并根据自身需求进行...
Go 语言编程基础:安全编程
最新发布
wushengT的博客
09-18 611
数据加密是保护数据隐私和安全的重要手段。在 Go 语言中,crypto包提供了多种加密和哈希算法,支持对数据进行加密、解密以及生成哈希值。
利用go破解带密码的rar压缩文件
笔记
06-02 1709
利用go破解带密码的rar压缩文件
Goland2018破解
无恋-zx的博客
01-17 1742
Goland2018破解  版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/github_39533414/article/details/81038333 第一:先下载goland 这里给出下载地址和破解补丁 链接:https://pan.baidu.com/s/1B1ZW3wYoMt4eQ9IP93RD5g 密码:igel ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值