KgCaptcha验证的那些事 -

Home > List of blog posts > KgCaptcha验证的那些事

Blogger Information

Blog 16

fans 0

comment 0

visits 5669

Special Recommendation

More>

Related recommendations

01 前言

针对KgCaptcha验证码，当用户点击完成验证，系统进行风险评估，根据风险程度进行验证，并返回结果。下面是我对前/后端验证的分析。

02 代码接入

HTML代码

<script src="captcha.js?appid=xxx"></script>
<script>
kg.captcha({
    // 绑定元素，验证框显示区域
    bind: "#captchaBox",
    // 验证成功事务处理
    success: function(e) {
        console.log(e);
    },
    // 验证失败事务处理
    failure: function(e) {
        console.log(e);
    },
    // 点击刷新按钮时触发
    refresh: function(e) {
        console.log(e);
    }
});
</script>
<div id="captchaBox">载入中 ...</div>

PHP代码

<?php
include "public/KgCaptchaSDK.php";
// 填写你的 AppId，在应用管理中获取
$appId = "xxx";
// 填写你的 AppSecret，在应用管理中获取
$appSecret = "xxx";
$request = new kgCaptcha($appId, $appSecret);
// 填写应用服务域名，在应用管理中获取
$request->appCdn = "https://cdn.kgcaptcha.com";
// 前端验证成功后颁发的 token，有效期为两分钟
$request->token = $_POST["kgCaptchaToken"];
// 当安全策略中的防控等级为3时必须填写
$request->userId = "kgCaptchaDemo";
// 请求超时时间，秒
$request->connectTimeout = 10;
$requestResult = $request->sendRequest();
if ($requestResult->code === 0) {
    // 验签成功逻辑处理
    echo "验证通过";
} else {
    // 验签失败逻辑处理
    echo "验证失败，错误代码：{$requestResult->code}， 错误信息：{$requestResult->msg}";
}

03 验证/验签分析

时间监测

页面载入离当前时间超过20分钟，有可能客户端时间不正确
第一次点击和最后一次点时时间过长，秒
第一次点击和最后一次点时时间过快，秒

if self.auth.data["level"] > 1 and self.POST["type"] not in (10, 11, 12, 13, 14, 15):  # 等级，字体识别和空间推理单次点击不检测间隔时间
    inter = (5, 0.1) if self.POST["type"] in (1, 2) else (12, 0.2)  # 设置拼图/文字点击两种不同类型间隔时间
    if abs(self.POST["load"] - self.kg["RUN_TIME"][3]) > self.timeout:  # 超时时间，JS载入时间离当时时间，秒
        return self.r_code(code=30003)
    if abs(self.POST["end"] - self.POST["start"]) > inter[0]:
        return self.r_code(code=30004)
    if abs(self.POST["end"] - self.POST["start"]) < inter[1]:
        return self.r_code(code=30005)

来路域名检测

if not self.kg["HTTP_REFERER"]: return self.r_code(30006)  # 域名不合法，无法获取来路域名
if not self.auth.domain_auth(): return self.r_code(30007)  # 来源域名未授权

验证次数限制检测

excess = self.auth.excess(1)
    if excess:
        return self.r_code(code=[30016, 30017, 30018][excess - 1])

应用有效时间检测

 validity = self.auth.app_validity()
    if validity[0] == 1: return self.r_code(30009)  # 授权未开始
    if validity[0] == 2: return self.r_code(30010)  # 授权已结束
    if self.auth.app_state(): return self.r_code(30011)  # 当前应用/域名被禁用

客户端IP地址

if not is_ip(self.kg["HTTP_ADDR"]): return self.r_code(30012)  # 无法获取IP地址
    ip_list = self.auth.ip_list()
    if ip_list == 1: return self.r_code(30013)  # 黑名单
    if ip_list == 2: return self.r_code(30014)  # 非白名单

用户在X分钟内错误记录数超过n条

if self.auth.data["level"] > 0:
    if not self.auth.risk(): return self.r_code(30015)  # x 分钟内超过 n 条错误记录

04 最后

SDK开源地址：KgCaptcha (KgCaptcha) · GitHub，顺便做了一个演示：凯格行为验证码在线体验

Statement of this Website

The copyright of this blog article belongs to the blogger. Please specify the address when reprinting! If there is any infringement or violation of the law, please contact admin@php.cn Report processing!

All comments Speak rationally on civilized internet, please comply with News Comment Service Agreement

0 comments

Author's latest blog post

KgCaptcha 行为验证码安全策略设置

2023-03-09 09:43:18