高效的验证码服务器

360安全卫士

传统方式生成验证码运算的地方：
1.获取生成验证码的请求->生成验证图片->输出
2.获取输入值，与session中的真实值校对

尝试改进：
与SESSION剥离：使用不过逆的哈希加密真实验证码，与系统时间绑定，将此哈希值输出到表单，同时将HASH与真实验证值输入到KV储存
前端缓存：输出的验证码图片只从KV中获取一次（获取一次后从KV映射表中删掉），后续重复的验证请求直接输出之前运算出的图片，减少后端运算量


算法举例：
假设 capmark=验证码的值
输出哈希  hashout=xencrypt(md5(key+capmark+timestamp))，//xencrypt可以自己扩展想要的加密方式。

输出到表单时，以<input type='hidden' value='hashout|timestamp'>方式并行输出方便提交时校对。
验证码显示时，以HASH为参，请求到服务器从KV中获取真实验证码并输出，在前端缓存减少运算量。


待解决：
1.重用性？
2.如何标记验证已使用过？（比如设置验证码过期为15分钟，以上算法的纰漏会导致在15分钟内无限使用同一验证码而通过）

360安全卫士

单手摘月 发表于 2012-8-25 10:31
想用在哪？

注册、发言的地方

Chen

来看楼主人品

nr05

懒人 懒得分析逻辑。

wdlth

上传一张yzm作为验证码。

360安全卫士

Chen 发表于 2012-8-25 10:34
来看楼主人品

狗滚开吧，老子不想理你。
骂人都不敢承认的SB，拉黑了就到处喷。

看你发帖，原来是你这几天很缺钱，想要钱了是吧？
如果你没骂我，我肯定会给你钱的，但你惹我在先，直接拉黑是必需的。

Chen

360安全卫士 发表于 2012-8-25 10:42
狗滚开吧，老子不想理你。
骂人都不敢承认的SB，拉黑了就到处喷。

谁先惹谁~~ 是你先不厚道的 亲~

Chen

是个男人就说到做到。

争议区可有帖子哦~~

smyz

你这是为什么这么做呢
session 加图片不就好了嘛。