验证码（CAPTCHA）作为防止自动化攻击的常见手段之一，可以有效的防止暴力破解、脚本攻击等攻击方式。但是，验证码本身并非无懈可击，攻击者可以通过多种手段窃取验证码，或者绕过验证机制。因此我们不仅要实现验证码功能，还要加强其安全性，防止验证码被窃取或破解。

下面我们就来介绍一下在Spring Boot中有那些防止验证被窃取攻击的方式。

常见的验证码窃取攻击的方式

攻击者可以采用以下几种方式进行窃取或破解

• 暴力破解：攻击者通过机器学习或者穷举法试图破解验证码的内容。
• 截获验证码：如果验证码的传输没有加密，攻击者可能通过中间人攻击截获验证码。
• 重放攻击：攻击者在一次有效的验证码请求中截获验证码，并在稍后的请求中复用该验证码。

为了防止这些攻击，我们可以采取以下几种措施来提高验证码的安全性。

使用HTTPS加密传输

最基础的防护手段是通过HTTPS传输验证码，这样验证码内容在网络中会被加密，即使攻击者通过中间人攻击拦截数据，也无法轻易获得验证码的内容。

配置HTTPS

可以通过以下方式配置，确保你的Spring Boot应用已经启用了HTTPS。

server.port=8443
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=yourpassword
server.ssl.key-alias=youralias

验证码的时效性和唯一性

防止验证码重放攻击和绕过攻击的一个重要手段是设置验证码的时效性，验证码应该在生成后具有一定的有效期，如果验证码在有效期之外被使用，则无效。

在生成验证码的时候，我们可以通过时间戳或者数据库存储验证码的生成时间，并且设置一个超时机制。例如，在验证码生成后5分钟内有效。这也是实际使用场景中比较常见的一种方式。

public class Captcha {
    private String value;
    private long timestamp;

    public Captcha(String value) {
        this.value = value;
        this.timestamp = System.currentTimeMillis();
    }

    public boolean isExpired() {
        return (System.currentTimeMillis() - timestamp) > 5 * 60 * 1000; // 5分钟
    }
}

验证码的随机性和复杂性

为了防止自动化攻击，验证码本身应具备足够的复杂性。也就是说验证码的内容不易太简单。可以考虑使用包含字母、数字和特殊字符的组合，或者生成图像验证码，甚至使用动态验证码（如带有干扰线的图片）等方式来生成验证码。

在Spring Boot中可以通过集成开源验证码生成库来生成验证码，例如Kaptcha，生成随机且复杂的验证码。

    com.github.penggle
    kaptcha
    2.3.2

通过配置Kaptcha，我们可以为每次验证码请求生成随机字符和图像，增强验证码的复杂性。

@Bean
public DefaultKaptcha captchaProducer() {
    DefaultKaptcha captcha = new DefaultKaptcha();
    Properties properties = new Properties();
    properties.setProperty("kaptcha.border", "yes");
    properties.setProperty("kaptcha.border.color", "105,179,90");
    properties.setProperty("kaptcha.textproducer.font.color", "blue");
    properties.setProperty("kaptcha.textproducer.char.space", "4");
    captcha.setConfig(new Config(properties));
    return captcha;
}

验证码与用户请求绑定

为了避免攻击者直接访问验证码，验证码可以与用户的会话（Session）或者IP绑定。每当用户请求验证码时，将验证码的验证结果与用户的Session或者IP地址绑定，这样即使验证码被截获，攻击者也无法在其他地方使用。

如下所示，可以将验证码存储到Session中。

@RequestMapping("/generateCaptcha")
public void generateCaptcha(HttpServletRequest request, HttpServletResponse response) throws IOException {
    String captchaText = captchaProducer.createText();
    request.getSession().setAttribute("captcha", captchaText);
    BufferedImage captchaImage = captchaProducer.createImage(captchaText);
    ImageIO.write(captchaImage, "jpg", response.getOutputStream());
}

每当用户提交验证码时，可以通过检查Session中的验证码值来确保用户输入的验证码是正确的。

验证码输入限制和校验频率

为了防止暴力破解攻击，应该限制验证码的请求频率。例如，某个IP地址在短时间内请求验证码的次数超过某个阈值时，可以暂时禁止其生成验证码。常见的做法是使用滑动窗口计数器、限流算法（如令牌桶算法、漏桶算法）等。

使用Spring Boot限流功能

@RequestMapping("/generateCaptcha")
@RateLimiter(value = 5, duration = 60) // 每分钟最多生成5个验证码
public void generateCaptcha(HttpServletRequest request, HttpServletResponse response) throws IOException {
    // 生成验证码逻辑
}

图形验证码与语音验证码结合

为了进一步增强安全性，可以考虑提供图形验证码和语音验证码的双重验证。对于机器人攻击者来说，图形验证码的内容较难通过机器识别，而语音验证码则能够为视障用户提供更好的体验。

动态验证码（时间变化验证码）

为提高验证码的安全性，可以实现动态变化的验证码，例如生成一个时间戳相关的验证码，只有在特定时间内才能验证成功。这种验证码每次都会变化，极大增加了攻击的难度。

总结

在实现验证码时保护验证码的安全是至关重要的，可以配合HTTPS、验证码时效性、验证码的复杂性、与用户请求的绑定、限流策略以及结合语音验证码等多种手段来保证验证码的安全性。防止验证码窃取不仅仅依赖于验证码本身的强度，更重要的是如何在系统层面增强防护机制，确保验证码不会在传输、存储和使用过程中被滥用。实际使用场景中可以结合各种的方式来防止验证码被窃取或非法利用。