集成阿里云滑动验证(python)

最新推荐文章于 2024-08-22 11:17:09 发布
最新推荐文章于 2024-08-22 11:17:09 发布
阅读量1.6k 收藏 1
点赞数
文章标签: python javascript java ViewUI
原文链接:https://segmentfault.com/a/1190000010594386
版权

阿里云的服务 数据风控下面有项滑动验证, 适合有人机验证场景的应用接入.

所谓滑动验证, 是在需要进行人机识别时, 前端出现验证滑块, 通过拖动滑块到末尾, 实现验证. 如果阿里云认为此次验证风险稍高, 可能出现点击汉字的认证等, 如果风险太高, 验证会直接拒绝.

集成过程基本是按照 阿里云官方文档 来进行的.

开通滑动验证服务之后, 阿里云控制台会给出前后端的示例代码, 其中appkey是根据用户不同分配的不通的key.

前端代码如下所示:

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>示例-WEB版</title>

  <!-- 此段必须要引入 t为小时级别的时间戳 -->
  <link type="text/css" href="http://g.alicdn.com/sd/ncpc/nc.css?t=1502182314627" rel="stylesheet"/>
  <script type="text/javascript" src="http://g.alicdn.com/sd/ncpc/nc.js?t=1502182314627"></script>
  <!-- 引入结束 -->  

</head>
<body>

<!-- 此段必须要引入 -->
<div id="_umfp" style="display:inline;width:1px;height:1px;overflow:hidden"></div>
<!-- 引入结束 -->

<!-- 表单示例,请替换成您的业务表单 -->
<div class="container">
  <form action="您提交的服务端地址" method="post">
    <div class="ln">
      <span class="h">用户名:</span>
      <input type="text" name="username">
    </div>

    <div class="ln">
      <span class="h">密码:</span>
      <input type="password" name="password">
    </div>

    <div class="ln">
      <div id="dom_id"></div>
    </div>

    <input type='hidden' id='csessionid' name='csessionid'/>
    <input type='hidden' id='sig' name='sig'/>
    <input type='hidden' id='token' name='token'/>
    <input type='hidden' id='scene' name='scene'/>
    <div class="ln">
      <input type="submit" value="提交">
    </div>
  </form>
</div>
<!-- 表单示例结束 -->

<!-- 此段必须要引入 -->
<script>
  var nc = new noCaptcha();
  var nc_appkey = '你的appkey';  // 应用标识,不可更改
  var nc_scene = 'other';  //场景,不可更改
  var nc_token = [nc_appkey, (new Date()).getTime(), Math.random()].join(':');
  var nc_option = {
    renderTo: '#dom_id',//渲染到该DOM ID指定的Div位置
    appkey: nc_appkey,
    scene: nc_scene,
    token: nc_token,
    trans: '{"name1":"code0"}',//测试用,特殊nc_appkey时才生效,正式上线时请务必要删除;code0:通过;code100:点击验证码;code200:图形验证码;code300:恶意请求拦截处理
    callback: function (data) {// 校验成功回调
      console.log(data.csessionid);
      console.log(data.sig);
      console.log(nc_token);

      document.getElementById('csessionid').value = data.csessionid;
      document.getElementById('sig').value = data.sig;
      document.getElementById('token').value = nc_token;
      document.getElementById('scene').value = nc_scene;
    }
  };
  nc.init(nc_option);
</script>
<!-- 引入结束 -->

</body>

<!-- 样式示例,请替换成自己的样式 -->
<style>
    body {
      background: #f5f5f5;
      font-size: 14px;
      line-height: 20px;
      margin: 0;
      padding: 0;
    }
    .container {
      background: #fff;
      padding: 20px;
      margin: 20px;
      width: 400px;
    }
    .ln {
      padding: 5px 0;
    }
    .ln .h {
      display: inline-block;
      width: 4em;
    }
    .ln input {
      border: solid 1px #999;
      padding: 5px 8px;
    }
  </style>
<!-- 样式示例结束 -->

</html>

其中标记不可更改的地方就不要更改. 可以看到, 在验证通过之后, console会打印出session, sig, token等几个验证返回变量, 连同scene一起, 通过表单返回业务后台, 由后台调用阿里云滑动验证服务进行校验.

python后台方面, 首先需要

pip install aliyun-python-sdk-jaq

安装阿里云滑动验证的python sdk
python的后台代码大致如下:

# coding: utf-8
import requests
from aliyunsdkcore import client
from aliyunsdkjaq.request.v20161123 import AfsCheckRequest
from aliyunsdkcore.profile import region_provider
from app.libs.configure import config

region_provider.modify_point('Jaq', 'cn-hangzhou', 'jaq.aliyuncs.com')

clt = client.AcsClient(config.ALIYUN_OSS_ACCESS_KEY, config.ALIYUN_OSS_ACCESS_SECRET, 'cn-hangzhou')


def check_aliyun_captcha(session, sig, token, scene):
    request = AfsCheckRequest.AfsCheckRequest()
    # 必填参数:请求来源: 1:Android端; 2:iOS端; 3:PC端及其他
    request.set_Platform(3)
    request.set_Session(session)
    request.set_Sig(sig)
    request.set_Token(token)
    request.set_Scene(scene)
    result = clt.do_action_with_exception(request)
    print result

这只是个简单示例, print出了返回结果. 这个返回结果是json序列化的string, 需要将其反序列化进行结果判定. 如果Data元素是true的话, 证明校验通过, 可以进行下面的业务逻辑.
同样的, 这里还有一点没有处理, 就是do_action_with_exception的抛出ServerException的问题. 应当catch处理.

如果验证通过的话, 阿里云返回:

{"Data":true,"ErrorMsg":"success.","ErrorCode":0}

但只能验证一次, 第二次同样参数执行的话, 会返回:

{"Data":false,"ErrorMsg":"invalid sig parameter.","ErrorCode":400}

是为了防止暴力尝试等.

同时必须说明, 阿里云的这项服务我认为并不稳定, 集成中间出现了一直invalid sig的报错. 后来经与技术支持沟通才ok. 并且这块的文档友好程度等还比较欠缺.

另: 我还按照阿里云api文档(滑动验证api, 公共参数, 签名机制)的说明写了段代码, 不使用aliyun-python-sdk, 手动拼接请求.同样发现了很多问题.
比如文档中有一段

clipboard.png
这个签名值应当不是随便写的. 使用文档中要求的HMAC-SHA1签名算法, 无论是用python像如下这样书写:

from hashlib import sha1
import hmac
from base64 import b64encode

hashed = hmac.new('testsecret&', string_to_sign, sha1)
signature = b64encode(hashed.digest())
print signature

还是像如下用Java算签名:

import javax.crypto.Mac;  
import javax.crypto.SecretKey;  
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;  
  
public class HMACSHA1 {  
  
    private static final String MAC_NAME = "HmacSHA1";    
    private static final String ENCODING = "UTF-8";    

    public static byte[] HmacSHA1Encrypt(String encryptText, String encryptKey) throws Exception {           
        byte[] data=encryptKey.getBytes(ENCODING);  
        SecretKey secretKey = new SecretKeySpec(data, MAC_NAME);   
        Mac mac = Mac.getInstance(MAC_NAME);   
        mac.init(secretKey);    
        byte[] text = encryptText.getBytes(ENCODING);    
        return mac.doFinal(text);    
    }
    
    public static void main(String[] args) throws Exception{
        byte[] bytes = HMACSHA1.HmacSHA1Encrypt("string_to_sign", "testsecret&");
        System.out.println(Base64.encodeBase64String(bytes));
    }
}

string_to_sign用文档中给出的替换, 我的两段程序算出的是一致的, 但都跟文档中给出的不一致. 不清楚为何基础算法会不一致, 难道是文档不够新.

如果我用python如下根据api文档实现自己的后台请求方法的话:

import random
from urllib import quote
from hashlib import sha1
import hmac
import requests
from base64 import b64encode
import datetime

def utcnow_isostr():
    dt = datetime.datetime.utcnow()
    return datetime.datetime.strftime(dt, '%Y-%m-%dT%H:%M:%SZ')

def quote_ali(element):
    return quote(str(element)).replace('+', '20%').replace('*', '2A%').replace('%7E', '~')

def build_afs_check_request(session, sig, token, scene):
    m = dict()
    m['Action'] = 'AfsCheck'
    m['Format'] = 'JSON'
    m['Version'] = '2016-11-23'
    m['AccessKeyId'] = config.ALIYUN_OSS_ACCESS_KEY
    m['SignatureMethod'] = 'HMAC-SHA1'
    m['Timestamp'] = utcnow_isostr()
    m['SignatureVersion'] = '1.0'
    m['SignatureNonce'] = str(int(random.random()*1000000))
    m['token'] = token
    m['sig'] = sig
    m['session'] = session
    m['scene'] = scene
    m['platform'] = 3
    ks = m.keys()
    ks.sort()
    query_list = list()
    for k in ks:
        query_list.append(k + '=' + quote_ali(m[k]))
    string_to_sign = 'GET&%2F&' + '&'.join(query_list)
    print string_to_sign
    base_query_string = '&'.join(query_list)
    hashed = hmac.new(config.ALIYUN_OSS_ACCESS_SECRET + '&', string_to_sign, sha1)
    signature = b64encode(hashed.digest())
    print signature
    url = 'http://jaq.aliyuncs.com/?{}&Signature={}'.format(base_query_string, quote_ali(signature))
    print url
    return url

def custom_check_aliyun_captcha(session, sig, token, scene):
    url = build_afs_check_request(session, sig, token, scene)
    resp = requests.get(url)
    print resp.content

这么去请求的话会报Signature不一致, 果不出所料.

基于以上诡异的表现, 我觉得阿里云滑动验证作为外部服务并不友好或成熟. 更倾向于用自己做的一些验证码服务, 虽然会简单些, 更容易被攻破, 至少稳定, 提供的qps更高.

weixin_34353714
关注
pythonpython中如何通过ddddocr来识别验证码,突破滑块移动验证
景天科技苑
08-14 2万+
ddddocr 是一个基于 Python 的开源 OCR(Optical Character Recognition,光学字符识别)库,它特别适用于验证码识别,支持英文数字、滑块和中文点选验证码等多种类型。ddddocr 基于深度学习技术,具有较高的识别准确率和灵活性。本文将详细介绍 ddddocr 的安装、基本用法以及结合实际案例进行验证码识别的过程。
Python网络爬虫项目开发实战:如何解决验证码处理
一个好知识的传播者
04-22 987
在网络爬虫项目中,验证码是一种常见的反爬虫机制。当网站检测到频繁的请求或异常行为时,通常会要求用户输入验证码验证其身份。对于自动化爬虫来说,处理验证码是一个挑战,但并非不可能。
阿里云滑动验证码
m0_69432668的博客
06-04 596
【代码】阿里云滑动验证码
阿里滑块通杀X82YX5SECua算法方法python例子.zip
09-04
阿里云滑动验证对接例子,2021.9.4更新,稳定
Selenium破解滑动验证码的原理及解决思路【超详细】
zhangsiyuan1998的博客
07-29 1106
现在出现了一种通过用户鼠标移动滑块来填补有缺口图片的验证码,我们叫做滑动验证码
Python爬虫实战系列12:阿里系淘宝滑块验证码通过技术解析!
最新发布
Python_trys的博客
08-22 1540
本文通过大量搜索实现后得出结论经验,文章内容仅供学习交流。请自行学习代码实现以及chromedriver驱动修改。如果你是准备学习Python或者正在学习(想通过Python兼职),下面这些你应该能用得上:包括:Python激活码+安装包、Python web开发,Python爬虫,Python数据分析,人工智能、自动化办公等学习教程。带你从零基础系统性的学好Python
android阿里滑块验证码,在Android App中接入HTML5滑块验证
weixin_33423874的博客
05-26 511
在您的Android App工程的Activity文件中,导入WebView组件的依赖库。import android.webkit.WebView;import android.webkit.WebSettings;import android.webkit.WebViewClient;import android.webkit.WebChromeClient;在AndroidManifest....
调用阿里云web API实现滑块验证码
btfqn1024的博客
04-17 1813
文章目录滑块验证码的实现原理使用jQery验证码框架实现图形验证码调用web API实现图形验证码 滑块验证码的实现原理 实现方式:根据用户在滑块滑动的响应时间,拖动速度等数据来验证 优点:显著提高用户体验 使用jQuery验证码框架实现滑块验证码 下载框架文件,放到项目素材(js、css、img)目录 新建页面,按格式调用验证码生成代码 自行扩展服务器端代码 使用jQery验证码框架实现图形验证码 调用web API实现图形验证码 ...
JAVA如何实现短信验证码--阿里云接口,新手式图文教学,个人项目有这一篇就够了
cssnnd的博客
07-24 269
开发前准备工作: 开通阿里云账号/支付宝账号,小量金额(充个10快钱一个个人项目够用了),两个小时的审核时间 https://account.aliyun.com/ 进入阿里云的官网,选择登录方式 登录以后,点击短信服务 点击管理控制台,进入后台页面 点击国内消息,注册一下签名和模板,简单理解就是你想要发怎么样的短信,以及填写你的信息 个人项目一般只需要如实填写签名和申请理由就好了,记得选取验证码~因为up主的次数满了无法再注册单体的验证码 完成签名以后再回到刚刚的页面,点击添加模板,这里要记住.
阿里python认证_集成阿里云滑动验证(python)
weixin_26969269的博客
01-14 1453
阿里云的服务 数据风控下面有项滑动验证, 适合有人机验证场景的应用接入.所谓滑动验证, 是在需要进行人机识别时, 前端出现验证滑块, 通过拖动滑块到末尾, 实现验证. 如果阿里云认为此次验证风险稍高, 可能出现点击汉字的认证等, 如果风险太高, 验证会直接拒绝.集成过程基本是按照 阿里云官方文档 来进行的.开通滑动验证服务之后, 阿里云控制台会给出前后端的示例代码, 其中appkey是根据用户不同...
Jenkins+Git+Appium 持续集成策略
与君初相识,犹如故人归
03-29 537
持续集成 (Continuous integration,简称 CI) 持续集成是一种开发实践,它倡导团队成员需要频繁的集成他们的工作,每次集成都通过自动化构建(包括编译、构建、自动化测试)来验证,从而尽快地发现集成中的错误。让正在开发的软件始终处于可工作状态,让产品可以快速迭代,同时还能保持高质量。 Jenkins 是基于 Java 开发的持续集成工具,开源免费,官网:https://jenkins.io/ App 自动化测试执行策略 自动化测试主要用于回归测试,我们可以制定执行策略:比如
EasyNLP 带你实现中英文机器阅读理解
阿里云技术
09-30 440
本⽂将提供对 MacBERT 模型的技术解读,以及如何在 EasyNLP 框架中使⽤ MacBERT 及其他预训练语言模型,进行中英文机器阅读理解任务的训练与预测。
java集成阿里云滑块验证码
涛声e依旧的博客
01-10 3910
文章目录简介验证码样例开发准备入门demo 简介 滑块验证码主要的作用是方便用户进行快捷验证操作,但是同时要合理的辨别到底是机器操作还是人工操作,这一点显得难度比较大,是属于人机识别的智能开发范畴,所以相对于之前的传统4位或者6位图片验证码来说,开发起来显得更加困难,所以一般来说都会接入一些第三方的Api来辅助开发人员进行滑块识别和验证。主要是根据用户在页面内的一些鼠标点击,停留,滑动距离等信息,...
算法过阿里系各种滑块、答题风控
PANGHU1103的博客
02-13 5323
阿里滑块通杀X82YX5SECua算法
阿里云短信服务RPC调用时常报错签名错误Specified signature nonce was used already.
qq_38871545的博客
05-29 770
调用阿里云短信API偶尔会报签名失败
水果可过 最新,最新,最新稳定版本,x82y x5sec 1688 淘宝滑块 阿里225解决方法
2301_78034954的博客
05-23 341
【已解决】阿里自动滑块 x5sec 解密 钉钉数据采集
Q44804487的博客
11-16 5527
发现过了滑块后返回头里面就包含这个 x5sec的cookie了 这个就是我们后续采集请求需要的东西。只要过了这个滑块将滑块返回的x5secdata 的cookie 带到请求参数里面去 就能完美避开了。目前x5sec的滑块已经做好了 有遇到这个问题的小伙伴也可以和我一起探讨下。大概逻辑就是 请求接口 如返回滑块 则解密滑块获取滑块返回CK。今天在爬钉钉数据和同步评论的时候 发现老是会触发一个滑块验证。解决这个滑块 我们采集就没问题了。然后去抓了下滑块的包。
京东滑块js逆向
qq_59970317的博客
08-03 2649
通过接口获取两张验证码图片 ——> 在内存里面处理图片 ——> 通过opencv计算出缺口的距离 ——> 模拟封装滑块的轨迹参数 ——> 逆向加密轨迹的参数 ——> 加密并请求验证接口。注意:晃动的轨迹x是要从0开始的,可以通过扩大F2的大小,压缩页面的大小。关于滑块轨迹的模拟,这个网上的代码挺多的,我直接参考翻译了一个python的版本出来。通过接口返回值可以判断出第二个接口是获取图片的接口,第三个接口是验证滑块的接口。图片接口的bg是背景图,patch是滑块都是base64编码的。
python selenium 滑动验证
08-25
滑动验证是一种常见的验证码形式,在Python Selenium中,可以使用一些方法来完成滑动验证。 首先,你需要导入相应的库并初始化一个WebDriver对象。你可以使用`webdriver.Chrome()`来初始化一个基于Chrome浏览器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值