『转载』初谈验证码与验证码设计

『转载』初谈验证码与验证码设计 伴随着信息的泛滥伴随着程序的"智能化"以至于我们都不能识别网络的另一方是一个人还是一只猴子。为了识别对方是不是一只猴子人们使用了一种全自动区分计算机和人类的测试的技术来防止这种现象英文全称Completely Automated Public Test to tell Computers and Humans Apart。 验证码一般应用在需要控制有效信息输入的情况下最常见的就是用户注册、登录、投票等。Google 的验证码也应用在用户控制上如 Gmail 中当输入的错误用户名后随便怎么都不会有验证码出现但是当用户名正确的情况下且输入密码错误超过两次则会出现验证码这是一个比较完善和安全的验证码。 验证码的设计 这里只涉及到一个较简单的验证码设计思路。 (1)验证码的获取。 验证码一般都通过一个类似接口地址动态获取例如。 (2)验证码的有效性验证。 验证码的有效性验证可以通过 session 验证明文记录在 session 中。验证通过后一定要注销该 session这是很常见的安全隐患点。 还有以参数形式带在 URL 中不像 session 受会话限制可以自由的在多台服务器下做验证这也是在服务器集群下不能做到 session 同步的一种变相解决方法但是这样的方法需要把验证码明文带到页面中因此需要采取加密后的串并且是可逆的加密。(3)验证码的显示。