图形验证码最佳实践
来源:互联网 发布:centos如何安装deb文件 编辑:程序博客网 时间:2024/05/16 11:24
3次失败之后会要求输入图形验证码
打开两个标签页,都是在有图形验证码的情况下.
第一个标签页成功,第二个标签页输入错误的图形验证码也能通过
为什么?
因为只要操作成功,就不需要校验图形验证码.
今天想设计一个图形验证码的最佳实践
(1) 首先,要明确图形验证码的目的是什么
图形验证码的目的是:防止自动化攻击.
防止暴力破解密码
伦理片 http://www.dotdy.com/
12306 为什么搞那么复杂的验证码,就是为了防止机器刷票,同时保证是人在操作.
下面是百度"知道"的回答:
图形验证码是验证码的一种。验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,我们利用比较简易的方式实现了这个功能。这个问题可以由计算机生成并评判,但是必须只有人类才能解答。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用户就可以被认为是人类。
(2)自动化攻击会有什么后果
(a)增加服务器负担
比如攻击登录接口,导致真正需要登录的用户登录不了.
(b)垃圾数据
因为是机器自动化操作的,不是真正的用户.所以这些数据么有用
(c)消耗资源
比如发送短信是收费的,如果机器自动化攻击,就会浪费短信资源
(3)自动化攻击的目的
(a)增加服务器负担,搞垮服务器
(b)破解登录密码(使用不同的密码不断尝试登录)
(4)图形验证码解决如下问题:
(a)减轻服务器负担
(b)减少垃圾数据
(c)节约资源(防止乱发短信)
(d)防止暴力破解
(5)哪些接口需要图形验证码
增,改的接口:比如注册
鉴权相关的:比如登录,找回密码
(6)哪些场景需要图形验证码
(a)失败次数过多
比如登录3次,都失败,就可以怀疑是暴力破解
(b)使用有限资源过多
比如注册时,发送了3次短信验证码
(7)使用图形验证码的原则
不能严重影响正常用户的使用
(8)图形验证码与什么挂钩(绑定)
(a)ip
(b)浏览器cookie
(c)手机号
(9)详细设计
拿登录举例,连续三次登录失败,则显示图形验证码
影音先锋电影 http://www.iskdy.com/
- 图形验证码最佳实践
- EJB 最佳实践:验证助手类
- 验证AD正确安装最佳实践
- Web表单验证:最佳实践和教程
- 图形码 图形验证码
- php图形验证码
- 图形验证码
- 图形验证码页面
- 自动识别图形验证码
- GDI+图形验证码
- 图形验证码
- JSP图形验证码
- strut2图形验证码
- 自动识别图形验证码
- 自动识别图形验证码
- 登录 图形验证码
- 图形验证码
- strut2图形验证码
- 运算符重载编程题2(C++程序设计第4周)
- ubuntu 安装jdk7小结
- LeetCode 118:Pascal's Triangle
- Composer
- 运算符重载编程题3(C++程序设计第4周)
- 图形验证码最佳实践
- 利用joomla 3.2.0 – 3.4.4 注入漏洞到getshell
- 阿里巴巴开源项目 Druid 负责人温少访谈
- 个人总结面试题
- 实时公交位置系统的实现
- 大整数的加减乘除(C++程序设计第4周)
- 【jQuery】:last-child子元素过滤选择器
- ES6个人学习整理(五)——Set和Map
- Ubuntu在终端中切换Gnome模式