大流量、高并发网站验证码解决方案

最新推荐文章于 2023-05-15 22:38:32 发布
最新推荐文章于 2023-05-15 22:38:32 发布
阅读量260 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/voswin/articles/1273916.html
版权

最近不知道怎么的,总是喜欢研究一些大型站点的一些功能的实现,这两天看了下几个大型站的验证码的实现,觉得有点意思。

于是在.Net下也实现了一套类似的机制。我们先来看看这几个站的验证码功能的外在表现:

看QQ的,网站上有验证的地方都可以看的到,我这里提供个地址:http://pay.qq.com/login.shtml?url=http://pay.qq.com/

看看获取验证码的地址是:http://ptlogin2.qq.com/getimage,而当前操作的域是:pay.qq.com,可见它的这个实现跟我们普通

的.Net下的实现是不一样的。

大家看看这个网站就知道了:http://www.byf.com/member/member_login.aspx?url=http%3a%2f%2fwww.byf.com%2fmember%2findex.aspx

登录页面上的验证码跟当前的操作是在一个域下,至少可以肯定的是在同一个站点下。

验证码的地址是:http://www.byf.com/member/validate_img.aspx

这是外面可以看的出来的不一样的地方。我们再来看看外表看不到的地方,借助HttpWatch来看看QQ的:

GET /getimage HTTP/1.1

HTTP/1.1 200 OK
Server: tencent http server
Accept-Ranges: bytes
Pragma: No-cache
Content-Length: 2589
Set-Cookie: verifysession=4a8ea93680ebf2b7fbdab088121fb2c7fbb5f134443e2844fbb16da500e6c128773e6e9f25e25cf2; PATH=/; DOMAIN=qq.com;
Connection: close
Content-Type: image/jpeg

在请求验证码图片的同时服务端往客户端写了cookie verifysession登录提交的时候登录服务器会获取这个cookie。

再来看普通的验证码:

GET /member/validate_img.aspx HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 07 May 2008 02:26:07 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 1.1.4322
Cache-Control: private
Content-Type: image/Gif; charset=gb2312
Content-Length: 1953

什么都没有,就是在服务端把请求得到的验证码数据存到了Session中,等提交的时候直接获取验证码输入框中的值和Session中的值比较。

再来看看taobao的:http://member1.taobao.com/member/register.jhtml?_lang=default

验证码地址:http://checkcode.taobao.com/auction/checkcode?sessionID=230bc9bc5e73ac5c7f49e6804a1e1d17

他是反过来的,没有往客户端写cookie,而是验证码那边获取注册这边的session然后存到某个地方,提交的时候去那里验证。

我们还可以看到一个小hack在验证码的头部有一段文字:

Copyright (c) 2006 by Yahoo! China Incorporated. All Rights Reserved.  有点搞笑哦,哈哈!!!

 

再来看看163的:http://reg.163.com/reg0.shtml

它的做法跟taobao一样,没有写cookie,是验证那边获取应用这边的Session的。

再来看看baidu的 :

HTTP/1.1 200 OK
Date: Wed, 07 May 2008 02:47:05 GMT
Server: Apache
Set-Cookie: BDUSS=2pObG53NHlOZ1FlYm1iV29wZ1MtMHRDNmVFTkhXekNPN09OMWdGYUJTd3BwVWhJQlFBQUFBJCQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACkYIUgpGCFIS; path=/; domain=.baidu.com
Expires: Mon, 26 Jul 1997 00:00:00 GMT
Last-Modified: Wed, 07 May 2008 02:47:05 GMT
Cache-Control: no-store, no-cache, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 2038
Connection: close
Content-Type: image/png

跟QQ的是一样的模式,验证那边往应用这边写cookie。

还有xunlei 、google啊等。都是这样的做法。。。肯定有它的道理在的!!!

 

综上所述,这些大型站点都是把验证码服务器和应用服务器分开的。具体的做法有两种:

1.获取验证码的时候验证码服务器往客户端写验证cookies,提交的时候服务端获取这个cookie和提交上来的验证码,再去验证码服务器验证。

2.获取验证码的时候传个应用这边的session到验证码服务器那边,提交的时候服务端把应用这边的session和提交上来的验证码一起到验证码服务器验证。

 

分析就到这里了哦,既然清楚了原理,我们不妨来做个呵呵。

首先要解决的一个问题就是怎么样把客户端请求的验证码数据存储起来而且要两边都能够访问我是这样解决的:

using System;
using System.Configuration;
using System.Collections;
using System.Collections.Generic;
using System.Text;

namespace Flyimg.Verify.Server
{
    public class CodeSession
    {
        /// <summary>
        /// 存放验证数据链表
        /// </summary>
        private static LinkedList<CodeSession> VerifyCodeList = new LinkedList<CodeSession>();

        private string _SessionId;
        private string _VerifyCode;

        /// <summary>
        /// 构造函数
        /// </summary>
        /// <param name="strSessionId"></param>
        /// <param name="strVerifyCode"></param>
        public CodeSession(string strSessionId, string strVerifyCode)
        {
            _SessionId = strSessionId;
            _VerifyCode = strVerifyCode;
        }

        /// <summary>
        /// 添加验证码数据
        /// </summary>
        /// <param name="strSessionId"></param>
        /// <param name="strVerifyCode"></param>
        /// <returns></returns>
        public static string Add(string strSessionId, string strVerifyCode)
        {
            bool bResult = false;

            LinkedListNode<CodeSession> CurrentPlay = new LinkedListNode<CodeSession>(new CodeSession(strSessionId, strVerifyCode));

            try
            {
                //保持链表长度限制客户端连接数
                if (VerifyCodeList.Count < int.Parse(ConfigurationManager.AppSettings["Capacity"].ToString()))
                {
                    VerifyCodeList.AddFirst(CurrentPlay);
                }
                else
                {
                    VerifyCodeList.RemoveLast();
                    VerifyCodeList.AddFirst(CurrentPlay);
                }
                bResult = true;
            }
            catch
            {
                bResult = false;
            }

            return bResult.ToString();
        }

        /// <summary>
        /// 删除验证码数据
        /// </summary>
        /// <param name="strSessionId"></param>
        /// <param name="strVerifyCode"></param>
        public static void Remove(string strSessionId, string strVerifyCode)
        {
            CodeSession codesession = new CodeSession(strSessionId, strVerifyCode);
            VerifyCodeList.Remove(codesession);
        }

        /// <summary>
        /// 验证验证码数据
        /// </summary>
        /// <param name="strSessionId"></param>
        /// <param name="strVerifyCode"></param>
        /// <returns></returns>
        public static string Verify(string strSessionId, string strVerifyCode)
        {
            int iResult = 0;

            foreach (CodeSession codesession in VerifyCodeList)
            {
                if (codesession._SessionId == strSessionId && codesession._VerifyCode == strVerifyCode)
                {
                    iResult = 1;
                    Remove(strSessionId, strVerifyCode);
                    break;
                }
            }

            return iResult.ToString();
        }

        /// <summary>
        /// 清除验证数据
        /// </summary>
        public static void Clear()
        {
            VerifyCodeList.Clear();
        }
    }
}

有两个主要的方法,ADD(添加)和Verify(验证)还有个问题就是两边的应用能快速的访问这个区域。我采用的是socket

没有采用webservice的原因的这样既可以分布式的部署而且速度够快。在验证码web端配置文件中配置好验证码Server的IP地址就可以了。

在验证码web端获取到验证码数据后:

 

try
{
    //添加验证到验证服务器
    Common.AddToVerifyServer(Session.SessionID, this.strVerifyCode);
}
catch (Exception ex)
{
    Logger.Add(ex.Message);
}

//写cookie
General.SetCookie("VerifyKey", Session.SessionID, "flyimg.cn");

这样验证码web端的任务就完成了,验证码Server中就有数据显示了:

 

提交的时候:

protected override void OnPostting(Object sender, DataEventArgs e)
{
    if (string.IsNullOrEmpty(Request.Form["UserAccounts"]))
    {
    strError1 = "请输入用户名!";
    }
    else if (string.IsNullOrEmpty(Request.Form["UserPwd"]))
    {
    strError2 = "请输入密  码!";
    }
    else if (string.IsNullOrEmpty(Request.Form["VerifyCode"]))
    {
    strError3 = "请输入验证玛!";
    }
    else
    {
    bool bResult = false;

    try
        {           
        //到验证服务器验证
        bResult = Common.Verify(ToolKit.Common.General.GetCookie("VerifyKey"), Request.Form["VerifyCode"]);
        }
        catch (Exception ex)
        {
        Logger.Add(ex);
        }

    if (bResult)
    {
        if (Request.Form["UserAccounts"] == "admin" && Request.Form["UserPwd"] == "123123")
        {
        General.SetCookie("user_id", "admin");

        string strReturnUrl = Request.QueryString["url"];

        if (!string.IsNullOrEmpty(strReturnUrl))
        {
            Response.Redirect(HttpUtility.UrlDecode(Request.QueryString["url"]));
        }
        else
        {
            Response.Redirect("/upload");
        }
        }
        else
        {
        strError2 = "用户名或者密码错误!";
        }
    }
    else
    {
        strError3 = "验证玛错误!";
    }
    }
}

这样就完成了验证:

 

好了。功能就是这样实现的。这是用第一种方式实现的,稍微修改下就可以改成第二种方式了。

下载地址:http://www.svnhost.cn/Download/Detail-108.shtml

Server端用到了一个开源的Socket类库Midapex.Net:

http://www.cnblogs.com/dyj057/archive/2008/04/18/1160392.html

谢谢,欢迎大家交流!enjoy...

转载于:https://www.cnblogs.com/voswin/articles/1273916.html

weixin_30875157
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java高性能高并发实战之图形验证码及接口防刷(七)
weixin_44015043的博客
05-07 2431
文章目录前言正文 前言 此篇文章是系列的第七篇,主要讲一些安全性相关联的问题,对应的源码部分参见Github源码第七部分。下面是一些相关联的文章。 章节名称 博客地址 安装部署Redis 集成Redis(已完结) 页面登陆功能设计 登录功能设计(更新优化中) 秒杀页面具体设计 秒杀详情页(已完结) JMeter初级压测学习 Jmeter压测入门学习(已完结) 页面优...
怎么网页登录处理验证
weixin_35752645的博客
02-14 353
要实现网页登录处理验证码,通常有以下几种方法: 手动识别验证码:用户可以手动输入验证码,然后提交表单进行登录验证。 使用第三方 API 识别验证码:可以使用第三方 API,它们可以帮助识别验证码并自动填写表单。 使用 OCR 技术识别验证码:可以使用 Optical Character Recognition (OCR) 技术识别验证码图片中的文字。 使用智能算法识别验证码:可以使用人工智...
27. 处理网站验证码:处理网站登录验证码(selenium+破解工具)
Vec_Kun的博客
01-17 1703
当我们请求网页过于频繁时,或者进行登陆操作时,网页通常都会抛出人机验证,目的就是反爬,常见的有滑块验证验证码、按顺序点击等形式...那么遇到这种情况,我们如何通过程序自动验证从而跳过人工操作实现全自动化呢?这就涉及到了一个新的知识:图像识别。我们可以通过建立数据集、训练数据集、生成模型等机器学习方法来实现识别验证码图片的功能,但它特别耗时耗力,效率还底下,还没有普适性...除非是有大量的请求要求在此域名下,就可以训练一波数据集,否则真的很浪费时间精力,没有必要。那么第二种方法应运而生:它就是。
【商城秒杀项目】-- 使用数学图形验证码来进行限流
weixin_42687829的博客
02-26 1041
秒杀接口地址隐藏可以防止恶意用户通过频繁调用接口来请求的操作,但是无法防止机器人,刷票软件还是可以恶意频繁点击按钮来刷请求秒杀地址接口 高并发下场景,在刚刚开始秒杀的那一瞬间,迎来的并发量是最大的,减少同一时间点的并发量,将并发量分流也是一种减少数据库以及系统压力的措施(使得1s中来10万次请求过渡为10s中来10万次请求) 本篇博客记录如何使用数学图形验证码来进行限流,限流削峰操作具体可参考...
验证码流程,如何实现高并发
xxx
11-18 1528
写过“用户注册发送验证码”这一逻辑的程序的同学应该都知道,后端程序需要区分正常的同一个人的两次请求和恶意的两次请求,同时又不能造成最大连接上的并发损失。 目前我的实现方案是,利用 ConcurrentSkipListSet,对正在访问该接口的用户做一个鉴定,如果请求来了,但是当前用户已经正在调用这个接口,那么这次请求就返回太快了。 private synchronized Boolean chec...
亿级流量网站架构核心技术高并发系统
04-23
在构建一个能够处理亿级流量网站架构时,核心技术与高并发系统的设计是至关重要的。这类系统必须具备高效的数据处理能力、稳定的服务性能以及灵活的扩展性,以应对大规模用户访问带来的挑战。以下是对这些核心知识...
千亿级电商秒杀解决方案专题
11-16
在千亿级电商秒杀解决方案专题中,我们探讨的是如何在大规模并发...以上就是千亿级电商秒杀解决方案涉及的关键技术点,通过这些技术的综合运用,可以构建一个高效、稳定、安全的秒杀系统,满足高并发场景下的业务需求。
Java高并发秒杀项目源码.zip
最新发布
01-14
8. **分布式事务处理**:在高并发环境下,事务一致性是个挑战,可能涉及到两阶段提交(2PC)或补偿事务(TCC)等分布式事务解决方案。 9. **负载均衡与反向代理**:Nginx或HAProxy等工具可以实现负载均衡,分发请求...
数据库审计系统测试方案.docx
10-14
- 进一步测试系统在复杂环境下的性能,如高并发、大数据量等情况,评估系统的稳定性和效率。 7. **性能测试** - 使用性能测试仪模拟数据库流量,调整速率,测试系统处理能力和响应时间。 8. **解决方案可行性...
短信平台解决方案介绍.ppt
09-13
- **高并发处理**:设计高可用架构,应对高峰时段的大流量请求。 - **冗余备份**:采用分布式存储和备份策略,保障数据安全不丢失。 - **故障切换**:具备故障检测和自动切换能力,保证服务连续性。 6. **运营与...
逻辑漏洞---登录验证码安全
qq_44418229的博客
07-14 4670
逻辑漏洞---登录验证码安全
高并发访问,短信炸弹,验证
qq_25993145的博客
08-10 3078
最近 公司遇到  一个高并发业务情况值得记录 ,验证码每分钟只能发送一次短信,每日50条上限 整理了一下有多种解决方案  1. 采用数据库主键方式   主键采用  yyyyMMddHHmm + 手机号 ,就能每个手机号 每分钟只能表内插入一次 。 2.采用 concurrentHashmap    这个不适用 分布式多节点 ,使用  putifabsand 方法 , 就是 如果 没有 就 插
C#编写图形验证
qq_42532852的博客
09-23 1558
写一个需要随机产生图形的码的类 需要通过Nuget管理工具下载以下两个命名空间。 using System.Drawing; using System.Drawing.Imaging; 1.生成图形码需要的类的代码如下: public byte[] GetVerifyCode() { int codeW = 80; int codeH = 30; int fontSize = 16;//字体大小
第一章 [用户服务] 邮箱验证码登录防刷
MisiroYubai的博客
08-20 364
需求:一定时间内禁止重复发送邮件。
设计登录页面测试用例,页面包括账号、密码和验证码,账号字符长度小于20,密码字符长度小于30,验证码数字和字母组合,长度为4
tuery1314的专栏
05-15 2625
69. 测试在非正常流程和异常情况下,例如输入无效信息、网络连接不稳定、服务停止运行等情况,系统是否能够正确处理和反馈,并及时恢复正常状态,确保系统的健壮性和容错能力。61. 在处理用户登录时,等待时间应该尽可能的短,并给出一定的浏览器反馈,以便让用户知道系统正在运作中,同时还需要支持非异步登录的情况,使用户感受到更顺畅的体验。71. 根据需求和背景,区分并设计不同类型的登录机制,如普通会员登录、VIP用户登录、管理员登录等,以便实现更精细和个性化的鉴权流程,并支持快速的客户经验迭代。
基于Redis优化验证码登录流程, 解决登录状态刷新问题
coderge's CSDN Blog.
05-06 534
当注册完成后,用户去登录会去校验用户提交的手机号和验证码,是否一致,如果一致,则根据手机号查询用户信息,不存在则新建,最后将用户数据保存到redis,并且生成token作为redis的key,当我们校验用户是否登录时,会去携带着token进行访问,从redis中取出token对应的value,判断是否存在这个数据,如果没有则拦截,如果存在则将其保存到。所以咱们后来采用的方案都是基于redis来完成,我们把session换成redis,redis数据本身就是共享的,就可以避免session共享的问题了。
web后端实现验证码思路
zy010101博客
09-05 2692
验证码实现思路 前端也可是生产验证码,但是前端如果生成简单的验证码,很容易就被爬虫破解,无法很好的起到一个人机识别的效果。而后端生成验证码图片发送给前端,这样的人机识别效果比较好。 验证码流程如下: 1. 前端发送get请求来获取验证码图片。需要前端生成uuid并把uuid的值传到后端; 2. 后端收到前端的生成验证码请求,生成验证码图片和验证码内容。然后将前端传递过来的uuid值作为键,验证码内容作为值,形成一对键值对,存储在Redis中。同时根据需求设置验证码的有效期。 3. 前端获取到验证码,等待用户
随机生成验证码问题
日语专业转码中的博客
07-07 149
随机生成验证码问题
后端生成验证
workhard2的博客
06-27 2280
1.功能点实现思路 1)前台思路: (1)前台一个用于输入验证码;一个用于展示验证码。 (2)验证码生成以及展示,点击刷新功能,可以为绑定click事件。 (3)click事件里面写ajax请求,通过后台生成处理好的带噪点的验证码图片。 注意:后台直接返回图片,不是验证码的字符!若返回字符,则验证码就失去了意义(前台很容易就可以获取验证码字符,进行多次恶意访问了)(这点考虑了系统安全性) (4)关于返回的图片如何在标签内展示 直接利用img的src属性,属性值为后台生成验证码的方法请求路径即可。当点击验证
高并发高流量网站架构设计.doc
09-26
在当今互联网时代,面对高并发和大流量的挑战,网站架构设计显得至关重要。随着互联网的迅速发展,网站不仅要承载海量的用户,还要提供高效、稳定的服务。本文将探讨如何设计能够应对高并发高流量网站架构。 1. *...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值