http://www.cnblogs.com/hujunzheng/p/5490899.html
说起验证码,关系它的是安全性,再联系到你的时效性,这就非session(本身是客户端的唯一使用服务器资源的凭证,而且是有时效限制的,用户长期未访问服务器,这个session是就会被主动注销掉)不能当此大任了,可用性不在话下,至于你说的加密这是画蛇添足了。
依楼上所言,未免误人,服务器端是必须保存这个验证码的,就像我给你了一个验证码,你可以使用,我自己也得备份一下和你比对,不然那不就变成了:你说你的验证码是对的,你已经验证过了,我就信任你了,那就等于没有密码,客户端的一切安全认证都是不足为信的!
----------
https://segmentfault.com/q/1010000003883718?_ea=410828
这个问题,得根据你应用的场景需求出发吧,一般找回密码发送的验证码,验证码都会有过期的时间,比如10-15分钟验证码就失效,而不是一直有效,这样安全系数就会降低。所以,一般使用 cookie memcache redis来做存储都是可以,如果需要长期不过期,就使用mysql来存储,但是这个方式不建议
方案1: 以Map形式直接放内存,key是用户的唯一标示,定时清除过期的验证码。
方案2: Redis,数据的持久化和过期什么的就不用自己处理,依赖redis即可。