关于安全:我网站使用了短信验证码还需要配图片验证码

验证码攻防反抗的实质

短信验证码和图片验证码的区别就不用说了，大家都晓得。

在答复后面的问题前，咱们须要晓得反抗的实质：

黑灰产如果想破解图片验证码（前面说的“验证码”，都指的是“图片验证码”），首先第一步，要实现“辨认”这个能力，也就是，它须要有能力晓得这张图片上的答案指标在哪里。在这块，咱们说的“辨认反抗”的实质就是咱们反抗黑灰产的工具。 实际上，真正的从技术底层上来说，验证码反抗的是黑灰产的人工智能，反抗的是卷积神经网络技术。在咱们晓得这个实质之后，咱们的验证码从哪些点去做更新、做迭代，能力无效地去反抗它。

如果要防备黑灰产，那么网站须要在感知层面进行增强，而感知层面，只有图片验证码能力实现，因为感知层面包含五个维度：

行为数据：验证过程中产生的键盘/鼠标/触屏等行为数据

终端危险：异样设施环境，模拟器、自动化工具，无头浏览器等

数据统计：各种验证形式的通过率，失败率，调用量

安全策略：检测攻击行为的安全策略，并能依据危险状况对验证码做出调整

预警指标：各维度的指标计算，监督每种验证形式的攻防状况

而这五个维度如何体现在验证码上呢？ 这个就是图片验证码的“变” ：

图片验证码的“变”

1.动静变更前端加密算法

在平安通信模块，黑灰产在破解验证码的时候，其可能会首要去思考逆向网站的JS 、晓得通信协议以及参数获取，这是攻防反抗比拟重要的一环。

解决方案的话，能够在进攻云搁置一个平安加密核心，而平安加密核心会定期地、自动化地生成新的加密算法，把代码从新混同一遍，而后定期推送到CDN下面。CDN下面搁置的是验证码以及验证的JS文件，而这，次要是由客户端来加载。在这种动静更新的机制之下，即便黑灰产获取到某个版本的验证码JS文件，并做了逆向破解之后，会在下一个更新窗口到来之后生效。如果黑灰产想实现齐全的脱机运行，就须要继续地去更新，去破解这些JS。这对于黑灰产来说，老本极高。

2.图片变更

图片的变更如何联合AIGC的能力，变动万千

3.字体及成果的变更

除上述之外，就是验证元素的治理。验证码领有继续变更的能力，能够动静的去更新这些根底元素。这里的“根底元素”，次要是字体的成果和字体的变动。

4.其余成果的变更

包含图标元素的变更、验证形式动静装置卸载、验证码形式和组合的实时变动等等

综上来说，只管短信验证码提供了肯定的安全性，但图片验证码能够进一步避免恶意程序或机器人的攻打。

图片验证码通常要求用户正确地辨认和输出一个难以辨认的图像中的文字或数字。这样的图像对于机器学习算法和自动化脚本来说比拟艰难，因而能够无效地区分人类用户和自动化程序。

示例代码

import requests# 配置顶象的密钥和验证码IDDOOV_API_KEY = 'your_doov_api_key'CAPTCHA_ID = 'your_captcha_id'# 申请验证码def get_captcha():    url = 'https://doovos.dooioo.com/captcha/preCaptcha'    payload = {        'captchaId': CAPTCHA_ID    }    headers = {        'Content-Type': 'application/json',        'Authorization': 'Bearer {}'.format(DOOV_API_KEY)    }    response = requests.post(url, json=payload, headers=headers)    result = response.json()    return result['captchaImage']# 验证用户输出的验证码def verify_captcha(captcha_token, captcha_text):    url = 'https://doovos.dooioo.com/captcha/verifyCaptcha'    payload = {        'captchaId': CAPTCHA_ID,        'captchaToken': captcha_token,        'captchaText': captcha_text    }    headers = {        'Content-Type': 'application/json',        'Authorization': 'Bearer {}'.format(DOOV_API_KEY)    }    response = requests.post(url, json=payload, headers=headers)    result = response.json()    return result['success']# 获取验证码图片并显示给用户captcha_image = get_captcha()print('验证码图片链接:', captcha_image)# 假如用户在表单中输出了验证码文本和验证码令牌user_captcha_text = input('请输出验证码文本: ')user_captcha_token = input('请输出验证码令牌: ')# 验证用户输出的验证码verification_result = verify_captcha(user_captcha_token, user_captcha_text)if verification_result:    print('验证码验证胜利')else:    print('验证码验证失败')

依据不同的编程语言当然会有不同的实现形式，下面是python的示例。不过下面应用的是顶象的验证码库，应用之前，须要先注册顶象的服务并获取相应的API密钥和验证码ID。将示例代码中的"your_doov_api_key"和"your_captcha_id"替换为你本人的值。

以上。