验证码技术用来解决网络中的恶意注册或者 DDOS 攻击,主要原理是,让用户
输入图片中的文字,如果通过了验证,服务器就在客户端浏览器保存一个验证 cookie,
比如叫做 <secure_session, 9HcxOGJMhn5j7UpmguyA4ABD>
以后用户访问服务器其他页面的时候,服务器先获取这个 cookie, 如果存在,
说明验证通过, 不存在则让用户输入验证码。
事先制作验证码图片
服务器生成 n 张验证码图片,文件名就是验证码对应的字符串。比如 nBxY.jpg
服务器使用一个 map,用来保存 <index, code> 的序对,其中 index 从
1递增直到 n, code 是验证码字符串,也是图片的文件名。
<1, nBxy>
<2, aBed>
<3, iOlx>
......
服务器生成随机的验证码图片给用户
浏览器请求一个页面,服务器先检查浏览器是否有 secure_session 的 cookie,
如果没有,就让用户输入验证码,服务器就使用哈希的方法取一张验证码图片,
显示在浏览器,哈希方法的具体步骤是:
服务器根据访问时间和 ip 生成一个 md5,作为 key
key = md5(time, ip)
然后计算 key 的 hash值,对其取余,得到验证码图片的索引值
index = hash(key) % n
从服务器的 map 中查找索引值 index 对应的验证码图片,返回给浏览器
可见,key 可以确定一张验证码图片,后面一个步骤,需要把用户输入的验证码和
验证码图片对比,以判断用户输入是否正确,为了确定用户使用的是哪张图片,我们
把 key 值保存在浏览器,即把 <temp_session, key> 作为临时 cookie 保存在
浏览器上。
服务器如何验证
验证的时候,服务器从客户取得两个属性,一个是 key 值,可以通过 temp_session
取得,一个是用户输入的验证码。
key = get_cookie("temp_session")
code = request.getParameter("code")
服务器取 key 的目的是确认用户输入的是哪个验证码的图片,确认方法为:
根据 key 计算出索引值
index = hash(key) % n
从服务器的 map 中查找 index 对应的验证码,
然后拿这个验证码跟用户输入的验证码做比较,即可验证
是否合法。 如果合法就把正式的 cookie 保存在浏览器 。