验证码

验证码的生命周期

在web应用中，验证码常用于登录注册。验证码本质就是一张图片。
我们来看一下验证码的生命周期：
1. 客户端请求验证码
2. 服务端渲染验证码：
- 渲染一张包含随机字符串的图片
- 随机字符串写入session
- 读取图片并返回响应
3. 客户端提交：
- 显示响应（即验证码图片）
- 获取用户输入字符串
- 提交用户输入
4. 服务端验证：
- 取出session中保存的随机字符串与用户提交的字符串进行对比
- 字符串信息一致，进行下一步处理
- 字符串信息不一致，返回错误信息

下面我们在Django中实践以上流程。

验证码实践

1. 新建一个名为ValidCode的Django项目，并创建应用app01，配置路由如下：

   from django.conf.urls import urlfrom app01 import viewsurlpatterns = [    url(r'^test/$', views.test),    url(r'^valid_code/$', views.valid_code),]

2. 定义test视图函数，当客户端访问http://127.0.0.1:8000/test/时，返回test.html页面；当客户端提交提交数据时，取出session中保存的验证码与用户提交的字符串进行对比：

   from django.shortcuts import render, HttpResponse, redirectdef test(request):    if request.method == 'GET':        return render(request, 'test.html')    code1 = request.session['valid_code']    code2 = request.POST.get('valid_code')    if code1 == code2:        return HttpResponse('OK')    else:        return redirect('/test/')

   <form action="" method="post">    {% csrf_token %}    <p>        <label for="valid_code">验证码：</label>    </p>    <p>        <input type="text" id="valid_code" name="valid_code">        <img src="/valid_code/" alt="validPic" width="150" height="30"><a href="#" class="refresh">刷新</a>    </p>    <p>        <button type="submit">验证</button>    </p></form><script>    var refresh = document.getElementsByClassName('refresh')[0];    var validPic = document.getElementsByTagName('img')[0];    refresh.onclick = function () {        validPic.src += "?"; //利用img标签的特性，刷新验证码    }</script>

   说明：

   • test.html中<img>标签的属性：src="/valid_code/"，表示向http://127.0.0.1:8000/valid_code/发起get 请求，以获取图片
   • 点击<a href="#" class="refresh">刷新</a>标签，执行validPic.src += "?"，以重新获取图片（刷新验证码）

3. 定义valid_code视图函数，将验证码写入session中，并返回验证码：

   def valid_code(request):    with open('bilibili.jpg', 'rb')as f:        res = f.read()    valid_code = 'bilibili'    request.session["valid_code"] = valid_code    return HttpResponse(res)

   说明：验证码本质就是一张图片，这里就先返回一张图片吧。。。

4. 浏览器访问http://127.0.0.1:8000/test/：

   

   说明：显示以上页面其实有两次get请求：

   • 对/test/发起get请求，服务端返回test.html页面；
   • test.html页面中<img>标签的属性：src="/valid_code/"，对/valid_code/发起get请求，服务端返回一张图片

5. 提交验证码：输入’bilibili’，显示‘OK’，否则重定向到当前页面，略。

生成随机验证码

这样似乎就成了，不过实际应用中的验证码都是随机生成的。而上面的验证码不论怎么刷新，也不会变，服务端始终返回一张静态图片。那么有没有办法呢？有，用pillow画图模块，每次请求过来，服务端实时渲染一张包含随机字符串的图片。下面我们改写valid_code函数：

def valid_code(request):    from PIL import Image, ImageDraw, ImageFont    from io import BytesIO  # 内存管理，优化速度     import random    img = Image.new(mode='RGB', size=(120, 30),                    color=(random.randint(0, 255), random.randint(0, 255), random.randint(0, 255)))    # 创建图像对象（模式，大小，颜色）    draw = ImageDraw.Draw(img, mode='RGB')  # 创建画笔（图像对象，模式）    font = ImageFont.truetype("app01/static/fonts/kumo.ttf", 28)  # 读取字体（字体路径，字体大小）    code_list = []    for i in range(5):        char = random.choice([chr(random.randint(65, 90)), str(random.randint(1, 9))])        code_list.append(char)        draw.text([i * 24, 0], char, (random.randint(0, 255), random.randint(0, 255), random.randint(0, 255)),                  font=font)        # 通过画笔的text方法，为图像绘制字符串（位置，文本，颜色，字体）        # [i * 24, 0] 字体坐标，i*24设置水平偏移，让每个字符分开显示    f = BytesIO()  # 拿到一个内存文件句柄f    img.save(f, "png")  # 保存图像对象到f    valid_code = ''.join(code_list)      request.session["valid_code"] = valid_code  # 验证码写入session    return HttpResponse(f.getvalue())  # `getvalue()`方法拿到内存文件句柄的内容

说明：

• 使用前需要先安装pillow模块：pip install pillow
• 绘制的图像可以保存的磁盘上，但是速度慢，这里使用内存管理from io import BytesIO，优化速度
• f = BytesIO() 拿到一个内存文件句柄
• f.getvalue()拿到内存文件句柄的内容
• 注意，Django的session信息默认存在数据库，使用session前应先执行数据库迁移，以生成django_session表

现在重新访问http://127.0.0.1:8000/test/：

现在验证码已经是实时生成的了，并且每次点击刷新，显示一张新的图片。