Java案例如何实现验证码存储？

wen java案例 2026-06-17 2

Java案例：如何实现验证码存储？从生成到验证的全流程实战

📚 目录导读

验证码存储的核心挑战与解决方案
基于Session的验证码存储实现
基于Redis的分布式验证码存储
基于数据库的持久化验证码存储
验证码存储的常见问题与性能优化
问答环节：验证码存储的深度解析

验证码存储的核心挑战与解决方案

在Java Web开发中，验证码存储是一个看似简单但暗藏玄机的问题，传统的Session存储虽然方便，但在分布式环境下会失效；Redis存储性能优异但需要额外组件；数据库存储虽然持久但在高并发下会出现瓶颈。

Java案例如何实现验证码存储？

核心挑战包括：

数据一致性：验证码生成后，用户可能在多个请求间操作
过期机制：验证码通常有5-10分钟的时效性
安全性：防止暴力破解或重放攻击
分布式兼容：集群环境下Session无法共享

推荐方案：根据场景选择——单应用用Session，分布式用Redis,需要审计日志用数据库。

基于Session的验证码存储实现

这是最基础的实现方式,适合单体应用或小型项目。

// 验证码生成与存储
@RequestMapping("/captcha/generate")
public void generateCaptcha(HttpServletRequest request, HttpServletResponse response) {
    // 1. 生成随机验证码文本
    String captchaText = CaptchaUtil.generateRandomText(4);
    // 2. 将验证码存入Session
    HttpSession session = request.getSession();
    session.setAttribute("captcha", captchaText);
    session.setMaxInactiveInterval(300); // 5分钟过期
    // 3. 生成图片并输出
    BufferedImage image = CaptchaUtil.generateImage(captchaText);
    ImageIO.write(image, "JPEG", response.getOutputStream());
}

验证逻辑：

@RequestMapping("/login")
public String login(HttpServletRequest request, 
                    @RequestParam("captcha") String inputCaptcha) {
    String sessionCaptcha = (String) request.getSession().getAttribute("captcha");
    if (!inputCaptcha.equalsIgnoreCase(sessionCaptcha)) {
        return "验证码错误，请重试";
    }
    // 验证成功后立即移除
    request.getSession().removeAttribute("captcha");
    return "登录成功";
}

优缺点分析：

✅ 实现简单，无需额外依赖
❌ 不支持分布式部署
❌ Session占用内存，高并发下可能OOM

基于Redis的分布式验证码存储

对于微服务或分布式系统,Redis是事实标准的验证码存储方案。

环境准备：需要安装Redis并在项目引入spring-boot-starter-data-redis。

@Autowired
private StringRedisTemplate redisTemplate;
// 生成验证码并存储到Redis
public String generateAndStoreCaptcha(String sessionId) {
    String captchaText = CaptchaUtil.generateRandomText(4);
    // key设计：captcha:{sessionId}，方便后续管理
    String key = "captcha:" + sessionId;
    // 存储并设置5分钟过期
    redisTemplate.opsForValue().set(key, captchaText, 5, TimeUnit.MINUTES);
    return captchaText;
}
// 验证验证码
public boolean verifyCaptcha(String sessionId, String inputCaptcha) {
    String key = "captcha:" + sessionId;
    String storedCaptcha = redisTemplate.opsForValue().get(key);
    if (storedCaptcha == null) {
        return false; // 验证码已过期或不存在
    }
    // 验证成功后删除，防止重复使用
    redisTemplate.delete(key);
    return inputCaptcha.equalsIgnoreCase(storedCaptcha);
}

优化策略：

使用Lua脚本保证原子性：判断+删除一步完成
设置合理的TTL：建议5分钟，太短影响体验，太长有安全风险
限流配合：单个IP/用户每分钟最多生成5次验证码

基于数据库的持久化验证码存储

适合需要审计日志、统计验证码使用情况的场景。

表结构设计：

CREATE TABLE captcha_log (
    id BIGINT AUTO_INCREMENT PRIMARY KEY,
    session_id VARCHAR(64) NOT NULL,
    captcha_text VARCHAR(10) NOT NULL,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    expired_at TIMESTAMP,
    status TINYINT DEFAULT 0 COMMENT '0:未使用 1:已使用 2:已过期'
);

Java实现：

// 生成验证码并持久化
public CaptchaLog generateCaptchaWithDB(String sessionId) {
    String captchaText = CaptchaUtil.generateRandomText(4);
    CaptchaLog log = new CaptchaLog();
    log.setSessionId(sessionId);
    log.setCaptchaText(captchaText);
    log.setCreatedAt(new Date());
    log.setExpiredAt(Date.from(Instant.now().plus(5, ChronoUnit.MINUTES)));
    log.setStatus(0);
    captchaLogRepository.save(log);
    return log;
}
// 验证并更新状态
public boolean verifyCaptchaWithDB(String sessionId, String inputCaptcha) {
    CaptchaLog log = captchaLogRepository
        .findTopBySessionIdAndStatusOrderByCreatedAtDesc(sessionId, 0);
    if (log == null) return false;
    if (log.getExpiredAt().before(new Date())) {
        log.setStatus(2); // 标记过期
        captchaLogRepository.save(log);
        return false;
    }
    if (inputCaptcha.equalsIgnoreCase(log.getCaptchaText())) {
        log.setStatus(1); // 标记已使用
        captchaLogRepository.save(log);
        return true;
    }
    return false;
}

适用场景：需要追踪验证码的生命周期,比如金融系统的二次验证。