API 交互中怎么做好图片验证码-php教程

媒介

正在传统的 Web 开发进程中，解决图形验证码很简略，只要要正在后盾用随机字符串天生一个图片，将验证码内容放进 Session 便可，用户提交表单时从 Session[1] 掏出判别便可。

然而现现在，愈来愈推许 API 交互，无状态，正在 Session 这一块，尽管默许设置装备摆设是没有支持了，然而仍是有不少曲线救国的办法。

基于 Session 完成

正在 API 开发中，咱们也能够给前端签发 SessionID ，而且经过 PHP 的内置办法，来完成这所有。
比方 咱们与前段商定，当正在申请中蕴含有 X-Session-Id ，且没有为空时，示意这个会话曾经注册过 SessionID ，不然就颁发一个 SessionID 并前往正在 Response Header 中的 X-Session-Id 让前段记载这个 SessionID ，上面简略完成一下。

// code_session.php
session_start();
// 这里假定曾经经过 Header 猎取到了 SessionID，并保留到了 $sessionId 变量中。
// 当 SessionID 没有存正在，或许 为空 则创立新的 SessionID 。
if(!isset($sessionId) || empty($sessionId)){
    $sessionId = session_create_id();
    // 由于前台尚未 SessionID ，以是下发一个，告诉前端保留。
    header('X-Session-Id: '.$sessionId);
}
// 设置以后会话的 SessionID 。
session_id($sessionId);
// 这里咱们就能够自在的读写 Session 了。
// 天生验证码
$code = mt_rand(1e3 ,1e4-1);
// create_image 请自行完成 或许应用现有的图形验证码库天生。
$image = create_image($code);
// 存储出来 Session
$_SESSION['code'] = $code;
// 输入一张图片
$image->output();

下面根本完成了天生图片，前端需求依据 只要要再提交表单时，正在 headers 中带上 X-Session-ID 便可。

// code_session_validate.php

session_start();
// 这里假定曾经经过 Header 猎取到了 SessionID，并保留到了 $sessionId 变量中。
// 当 SessionID 没有存正在，或许 为空 则创立新的 SessionID 。
if(
  !isset($sessionId) 
|| empty($sessionId) 
|| !isset($_POST['code']) 
|| empty($_POST['code'])
){
    // 由于不提交 SessionID 过去 这个一定就是不可立的了，以是间接终止便可。
    exit;
}
// 设置以后会话的 SessionID 。
session_id($sessionId);
if($_POST['code']!=$_SESSION['code']){
    // 验证码谬误啦
    exit;
}
// 验证经过了就删掉 code，
unset($_SESSION['code']);

下面应用 Session ，咱们根本就完成了一个简略的验证，并且是基于 API 交互的，没有依赖阅读器 cookie 。当咱们需求一些复杂的比方同享 Session ，这些就没有正在本文的探讨范畴了(其完成正在也曾经超纲了)

基于客户端自动签发

接上去的办法是无状态的，然而需求用到 Redis 。这里应用 PHPRedis 这个扩大来解决。

正在年夜少数状况下，咱们其实不需求像下面应用 Session 那样来创立过多的 Session ，造成有一些资本糜费，当然，Session 能够做的没有止这些，上面咱们就用 Redis 来做一个客户端自动签发 的图片验证码。

实践原理

由客户端内陆天生随机字符串，而后拼接正在猎取验证码地点的前面，后端截取客户端天生的随机字符串，用此作为验证凭据放入 Redis 中去，再客户端提交时需求带上先宿世成的随机字符串一起出项验证。

// code_client.php
$salt = 'wertyujkdbaskndasda';
if(!isset($_GET['sign'])){
    // 客户端不提供署名，中止执行
    exit;
}
// 用户传来的所有数据都是不成靠的，咱们需求对其加盐后执行 md5
$sign = md5($_GET['sign'].$salt);
// 拼接上署名作为 Redis 的 key
$key = 'code:'.$sign;
// 衔接 Redis 
$cache = new \Redis();
// 天生验证码
$code = mt_rand(1e3,1e4-1);
// 保留验证码到 Redis 并设置2分钟的无效期。
if($cache->exists($key)){
    // 这个 Key 曾经被占用了，这里先中止。
    exit;
}
$cache->set($key,$code,60*2);
// 创立图片并前往
$image = create_image($code);
$image->output();

好了，接上去验证一下。

// code_client_validate.php
$salt = 'wertyujkdbaskndasda';
if(
!isset($_POST['sign'])
|| !isset($_POST['code']) // 不提交验证码过去。
|| !empty($_POST['code'])
){
    // 客户端不提供署名，中止执行
    exit;
}
// 用户传来的所有数据都是不成靠的，咱们需求对其加盐后执行 md5
$sign = md5($_POST['sign'].$salt);
// 拼接上署名作为 Redis 的 key
$key = 'code:'.$sign;
// 衔接 Redis 
$cache = new \Redis();

if(!$cache->exists($key)){
    // 基本不这个 key
    eixt;
}

if($cache->get($key)!=$_POST['code']){
    // 验证码谬误
}

// 验证经过了就删除了

$cache->del($key);

看着是否是要复杂点儿，乃至还用上了 Redis ，尽管看着没有咋地，然而他也完成了咱们想要的，不外这个也没有算是太好的计划，并且，还要思考客户端字符串不敷随机的状况，接上去咱们扭转一下标的目的，换成效劳端签发。

基于效劳端签发

刚刚的是基于客户端签发的完成，上面来提供另外一种思绪，然而大要上，这个是差没有多的哈都。

实践原理

一样是签发 Sign ，只不外此次由效劳端来签发，而后将 Sign 经过 Header 发送给客户端，客户端需求先取到图片资本，留意这里前往的应该是一个非法的二进制流，而后从 header 中掏出 Sign ，同时展现给用户。

// code_server.php
$cache = new \Redis();
$salt = 'wertyujkdbaskndasda';
function generateSign(){
    global $cache,$salt;
    $sign = md5(mt_rand().$salt);
    // 拼接上署名作为 Redis 的 key
    $key = 'code:'.$sign;
    if($cache->exists($key)){
        // 是的 你么有看错，就是假如天生的 Sign 已存正在，就进行递归，直到天生出一个没有存正在的。
        return generateSign();
    }
    return $key;
}
// 衔接 Redis 
$key = generateSign();
// 天生验证码
$code = mt_rand(1e3,1e4-1);
// 保留验证码到 Redis 并设置2分钟的无效期。
$cache->set($key,$code,60*2);
// 创立图片并前往
$image = create_image($code);
// 哈哈 要剃掉前缀哟
header('X-Captcha-Sign: ' . str_replace('code:','',$key));
$image->output();

看起来简直不变动，只是天生 Sign 的形式变了一下，然而，这样搞的话，前端同窗可能就没有爽了，他们要先猎取这个资本以及 headers 中的 X-Captcha-Sign 再 show 到界面上，当然 能够间接将后果 base64 或许 间接用用二进制流天生位图显示都是能够的，咱们只是需求能够验证，验证办法间接应用下面的便可。

特地留意

当你应用 ajax 猎取这个资本是，假如你的营业触及到了跨域，你还需求正在呼应头设置 Access-Control-Expose-Headers - HTTP | MDN，不然 ajax 无奈猎取自界说的呼应头。。

header('Access-Control-Expose-Headers: X-Captcha-Sign');

总结

看了这三种处理计划，根本都能餍足咱们的需要，可能另有人想到了另外一种计划。提供一个 json 接口名，正在后盾天生图片而后保留起来，前往 url 以及 sign 给前端，这样就行了，然而这样做，咱们的资本其实不太可控，会造成肯定的资本糜费，这里我并无思考 这类计划。

文中所提到的一些常识都是对一些根底常识的使用，文章中的代码是写文章间接敲的，假如有排版谬误或许逻辑谬误，请不惜见教。

文中所用到的 Redis 为 PHPRedis 扩大。至于验证码图片天生能够用 gregwar/captcha - Packagist 来做哟。

以上只是我集体的一些了解，假如你有更好的计划，无妨一同分享。

参考

PHP: Sessions - Manual

[注1] 本文中所提到的 Session 为一种技巧规范以及以及咱们常说的经过阅读器主动通报 Cookie 交互中的 Session 有肯定概念却别，这里只是本人手动完成了 SessionID的通报 ，然而始终放弃 Session 的直译语义 “会话”。

更多PHP相干技巧文章，请拜访PHP教程栏目进行学习！

以上就是API 交互中怎样做好图片验证码的具体内容，更多请存眷资源魔其它相干文章！