图片验证码是验证码的一种,图片验证码常见的形式有输入图片中字母、数字等,目前的发展更为多元。下面小编从多方面跟你们讲讲图片验证码。javascript
➤验证码的前世此生
全自动区分计算机和人类的图灵测试(Completely Automated Public Turing test to tell Computers and HumansApart,简称CAPTCHA),俗称验证码,是一种区分用户是计算机或人的全自动化程序。php
- 标准验证码
标准验证码便是咱们常见的图形验证码、语音验证码,基于机器难以处理复杂的计算机视觉及语音识别问题,而人类却能够轻松的识别来区分人类及机器。前端
- 创新验证码
创新验证码是基于第一代验证码的核心思想(经过人类知识能够解答,而计算机难以解答的问题进行人机判断)而产生的创新的交互优化型验证码。第二代验证码基于第一代验证码的核心原理:“人机之间知识的差别”,拓展出大量创新型验证码。java
- 无知识型验证码
无知识型验证码最大的特色是再也不基于知识进行人机判断,而是基于人类固有的生物特征以及操做的环境信息综合决策,来判断是人类仍是机器。如Google的ReCaptcha。web
➤图形验证码在发展中的技术对抗
(1)避免触发验证码验证码的引入会带来用户友好度的降低,增长验证码输入以及人眼对验证码识别的可能错误等都会带来很差的使用体验。这对追求用户体验的网站来讲,在没遇到可疑行为时,其采起的策略是默认不开启验证码功能,当触发可疑行为识别规则时,才会出现验证码。基于此原理,对攻击方来讲,就是尽可能避免触发可能出现验证码的规则。通常可疑行为识别是经过检查频繁尝试而且出错这个行为来进行,基于此的对抗措施则是使用不一样的IP来进行尝试,或者等待足够的时间再次尝试,这样让目标网站程序认为这些尝试都是正常的访问请求,从而在自动化程序端连续做业时不会出现验证码而达到绕过的目的。算法
(2)验证码固定从前面的验证码固定问题描述可看出,攻击者能够在同一个会话下,在得到第一个验证码后,后面再也不主动触发验证码生成页面,而且一直使用第一个验证码就可循环进行后面的表单操做,从而绕过了验证码的屏障做用。json
(3)验证码机器自动识别计算机自动识别验证码,主要原理是经过必定的算法预先创建验证码范围内的字体特征库,再将要识别的验证码经过一样的算法生成特征,与以前保存的特征库进行比较,进而获得图片验证码的值。通常地,其识别过程有以下图所示的处理流程:后端
(4)深度学习——GANs网络网站登陆图像验证码的发展到如今,遇到的最大的威胁可能就是深度学习了,特别是GANs网络的出现,让图像验证码遇到了最强劲的对手。服务器
➤ 图片验证码剖析
- 道高一尺魔高一丈
图片验证码在不断发展,目的就是为了不一些非正经常使用户操做。而不论图形验证码如何发展,终究是敌不过攻击者的破解手段,正所谓 “道高一尺魔高一丈” 。就好比铁路12306的图片点选验证码,不只没有挡住黄牛,反而让黄牛抢票更加轻松。网络
- 为何受伤的老是我
在开发者与攻击者的角逐中,受影响最大的莫过于咱们用户了。各类千奇百怪的复杂验证码,不是为了考验黑客,而是考验用户。
验证码的图片经常扭曲得连人眼都认不出来。这在那些无实义的字词中体现得格外明显,就像“rl10Ozirl”。里面用的究竟是小写的字母“L”仍是数字“1”?是数字“0”仍是字母“O”?真正的用户在使用途中真的是饱经磨难。。。“为何受伤的老是我”。
- 浪费你们的宝贵时间
据卡内基梅隆大学的研发小组估算,全球人口天天在这些烦人的屏障入口处所耗费的时间,累计可达15 w小时。有种新型的验证码——“多重验证码”(reCaptcha),至少是把这些时间用在了公共价值的创造上。你看到的图片是一个从扫描不良的谷歌(微博)图书中截取出来的模糊单词;而你输入该词拼写的过程,其实就是在协助谷歌处理、识别一段有效文本。
即使如此,咱们这些守规矩的用户,天天仍是会浪费掉17年的时间。这简直是对生命的可耻浪费。而用户真正想要的是去掉这些额外的操做。
➤ 去掉图片验证码咱们用什么
- 风控防火墙
风控防火墙是近几年研发出来的一种专门应用于原图片验证场景的替代品。它将彻底取缔原来的图片验证码,将用户体验作到最好。在用户彻底无感的状况下来区分正经常使用户与非正经常使用户。经过AI立体防护机制,实时防控。用户不再用担忧出现(“验证码输入错误!”)的烦人提示了。
➤ 如何使用风控防火墙
第一步:获取防火墙账号密钥
进入 防火墙控制台,在左侧导航栏选择【网站管理】,进入网站管理页面,单击【发到邮箱】接收密钥。
第二步:下载防火墙服务器
前往新昕科技官网,在顶部导航栏选择【解决方案】>【下载中心】,进入下载中心页面,找到短信防火墙服务器安装包,点击【下载连接】便可下载。
第三步:业务系统先后端接入
web 前端接入:
Java 在页面合适的位置(标签内)加入如下代码引入JS文件:
<script type="text/javascript" src="/NxtJsServlet"></script>
PHP 在页面合适的位置(标签内)加入如下代码引入JS文件:
<script id="finger" type="text/javascript" src="/nxt_inc/nxt_front.php"></script>
后端接入:
Java
修改配置(和业务系统同系统不须要修改):
newxtc.ini (存放位置:"/WEB-INF/classes/newxtc.ini") 修改参数(fireWareUrl)--> fireWareUrl=http://localhost:7502
- 短信下发
public RetMsg smsSend(HttpServletRequest request, HttpServletResponse response, String clientMobile) {
RetMsg retMsg = new RetMsg(-1, "系统异常");
FwClient fwClient = new FwClientImpl();
try {
// 1 调用【短信防火墙】短信发送请求
HashMap < String, Object > paramMap = fwClient.getSendReq(request, clientMobile);
String jsonReq = fwClient.execReq(paramMap);
String smsSendRet = fwClient.getRetVaule(jsonReq, "riskResult");
if("REJECT".equals(smsSendRet)) {
retMsg.setRet(3);
retMsg.setMsg("请求过于频繁");
}
else {
// 业务 TODO
// 业务调用短信接口 TODO
// 调用短信接口 结束
if(smsRetMsg != null && smsRetMsg.getRet() == 0) {
// 2 调用【短信防火墙】成功结果
fwClient.execSucc(paramMap);
logger.debug("send succ");
retMsg.setRet(0);
retMsg.setMsg("发送验证码成功");
}
else {
// 2 调用【短信防火墙】失败结果
SmsVerifyCache.getInstance().remove(clientMobile);
fwClient.execFail(paramMap);
retMsg.setRet(-1);
retMsg.setMsg("发送验证码失败");
}
}
}
catch(Exception e) {
for(StackTraceElement elment: e.getStackTrace()) {
logger.error(elment.toString());
}
}
return retMsg;
}
- 短信验证
public RetMsg smsVerify(HttpServletRequest request, HttpServletResponse response, String clientMobile, String smsVerifyCode) {
FwClient fwClient = new FwClientImpl();
RetMsg retMsg = new RetMsg(-1, "系统异常");
if(smsVerifyCode == null || smsVerifyCode.isEmpty()) {
retMsg.setRet(1);
retMsg.setMsg("输入验证码为空");
}
else {
// 1 调用【短信防火墙】验证请求
HashMap < String, Object > paramMap = fwClient.getVerifyReq(request, clientMobile); // 请求防火墙
String jsonReq = fwClient.execReq(paramMap);
// 报文处理
String smsSendRet = fwClient.getRetVaule(jsonReq, "riskResult");
if("REJECT".equals(smsSendRet)) {
retMsg.setRet(3);
retMsg.setMsg("请求过于频繁");
}
// 业务 TODO
if(cacheSmsVerify != null && cacheSmsVerify.getVerifyCode() != null && !cacheSmsVerify.getVerifyCode().isEmpty()) {
if(cacheSmsVerify.getVerifyCode().equals(smsVerifyCode)) {
retMsg.setRet(0);
retMsg.setMsg("验证成功");
}
else {
retMsg.setRet(1);
retMsg.setMsg("验证码错误");
}
}
else {
retMsg.setRet(-9);
retMsg.setMsg("验证码超时");
}
if(retMsg.getRet() == 0) {
// 2 调用【短信防火墙】成功结果
fwClient.execSucc(paramMap);
}
else {
// 2 调用【短信防火墙】失败结果
fwClient.execFail(paramMap);
}
}
return retMsg;
}
修改配置文件(和业务系统同系统不须要修改):
nxt_ini.php (存放位置:"\nxt_inc") 修改参数($GLOBALS ["fireWareUrl"])-->$GLOBALS["fireWareUrl"]="http://localhost:7502"
- 短信下发
require_once $_SERVER['DOCUMENT_ROOT'].
"/nxt_inc/nxt_client.php";
/**
* 发送短信
* @param $mobile
*/
public
function send(string $mobile) {
$fwClient = new ClientApi();
// 获取下发短信报文
$paramMap = $fwClient - > getSendReq($phone);
// 执行下发短信请求
$jsonReq = $fwClient - > execReq($paramMap);
$fwRet = $fwClient - > getRetVaule($jsonReq, "riskResult");
if("REJECT" != $fwRet) {
// 发送短信业务 TODO
if(发送成功标记) {
// 下发短信成功
$fwClient - > execSucc($paramMap);
}
else {
// 下发短信失败
$fwClient - > execFail($paramMap);
}
}
}
- 短信验证
/**
* 短信验证
* @param $mobile
*/
public
function smsVerify(string $mobile) {
$fwClient = new ClientApi();
// 获取短信验证报文
$paramMap = $fwClient - > getVerifyReq($phone);
// 执行短信验证请求
$jsonReq = $fwClient - > execReq($paramMap);
$fwRet = $fwClient - > getRetVaule($jsonReq, "riskResult");
if("REJECT" != $fwRet) {
// 验证短信业务 TODO
if(验证成功标记) {
// 验证短信成功
$fwClient - > execSucc($paramMap);
}
else {
// 验证短信失败
$fwClient - > execFail($paramMap);
}
}
}
第四步:查看风控数据
防护拦截数据一览无余,实时查看当日数据详情与近期风险趋势。 经过风控数据看板,可查看1-30天的验证状况、风控拦截状况以及验证事件触发的AI模型状况。
进入防火墙控制台,在左侧导航栏选择【风险大盘】,进入风险大盘页面。
➤结语
这篇文章到这里就结束了,感谢大佬们驻足观看,大佬们点个关注、点个赞呗~
谢谢大佬~
做者:香芋味的猫丶