阿里云安全类云产品，验证码使用时滑动验证流程及线上问题排查

阿里云验证码产品，使用业界先进的风控引擎结合“规则+AI”模型，有效区分真实用户和机器自动化脚本攻击，避免机器请求造成业务损失。主要适用于垃圾注册、刷库撞库，薅羊毛，短信被刷等风险场景。为您提供安全可靠的业务环境。本文为大家介绍验证码使用时滑动验证流程及验证不通过的问题排查。

下图是滑动验证在用户客户端的展示效果。

产品介绍：https://www.aliyun.com/activity/security/wafcaptcha

一、滑动验证流程

滑动验证服务通过下图所示逻辑实现验证码。

1.在您的应用客户端（网页）和服务端中分别集成滑块验证功能接入代码后，在指定的客户端页面中唤醒滑块组件。

2.用户在客户端（网页）中，将滑块滑动至末端。滑块组件代码自动触发，向阿里云服务器发送验证请求，判断此次操作行为是否正常。

3.阿里云服务器利用风控技术，判断验证请求的合法性并将结果返回至应用客户端。验证结果如下：

• 滑动验证成功：在客户端NC_Opt对象的callback参数中，获得验证请求的回调结果。
• 滑动验证失败：客户端提示验证失败，并提示用户重新进行滑动验证。

4.客户端将收到的验签所需参数信息（param）与应用业务请求（如登录、注册）一同发送至应用服务端（该部分需要根据自身业务逻辑进行开发）。

5.应用服务端调用afs验签接口，向阿里云服务器发送请求，判断所收到的验签信息是否有效。

• 对于JAVA、.NET、PHP、Python开发语言，您可以通过SDK使用已封装的验签方法。
• 对于其它语言，您可以通过HTTP形式直接调用验签接口。

6.阿里云服务器收到验签请求，实时判断验签是否合法且有效。

7.应用服务端收到验签结果，结合应用业务逻辑进行处理。

• 返回code为100，表示验签成功。
• 返回code为900，表示验签失败。

8.应用客户端收到最终验证结果，根据业务逻辑继续执行后续业务。

二、使用教程参考

您可以通过以下方式在业务中接入滑动验证服务。

1.登录阿里云验证码控制台：https://yundunnext.console.aliyun.com 在验证码页面，选择配置管理页签。

2.单击新增配置。
根据您的实际业务情况，设置配置名称、高峰期QPS、使用场景、业务类型，并在验证方式项选择滑动验证。

说明：高峰期QPS指您业务峰值期间每秒页面访问的次数。

3.单击下一步。

4.在系统代码集成&测试页面，妥善保存系统为您自动生成的前端和服务端的功能接入代码。

5.在您的业务前端页面和服务端中分别集成阿里云验证码提供的前端和服务端功能接入代码。

配置接入完成后，即可在您的业务中使用阿里云的最新人机识别技术实现验证码。

三、线上问题定位与排查

滑动验证默认不会采集您当前业务场景中的用户名、手机号码等业务键信息。为了便于线上问题排查，强烈建议您配置上传业务主键。这样，您可以通过“业务键+时间”的方式快速定位遇到问题的用户所关联的滑动验证请求。如果未配置上传业务键，您可能需要引导用户进行抓包才能定位到具体的日志和请求。
您可以选择以下任一方式配置上传业务键：

• 在用户操作滑块前的任何时刻，调用滑动验证提供的setTrans方法上传业务键。
  例如，您可以在用户填写用户名（即从用户名输入框失焦）时，调用nc.setTrans('{'userName':用户名输入框value}')方法上传用户名信息；您也可以在页面加载完成时，调用nc.setTrans('{'业务会话标识':业务会话session的值}')方法上传您业务的唯一会话标识。

• 配置elementID字段让滑动验证组件主动采集业务键信息。
  elementID值的类型是stringList。配置后在滑动结束的时刻，滑动验证组件会以elementID当中的每一个string作为ID，获取对应Dom的value值并上传。
  例如，当您配置elementID:[“usernameID”]时，在滑动结束的时刻document.getElementById(“usernameID”).value将被自动上传至滑动验证服务端。

根据返回错误码定位问题原因

当滑动验证出现异常时，用户将收到错误提示信息，错误信息中包含错误码。
通常返回此类错误码时，需要在浏览器的前端调试工具中，查看未能成功加载的js文件。对于未能成功加载的js文件的域名，通过Ping命令等方式检查本地客户端是否可以连通。如果无法正常连通，请用户检查本地网络环境。

您可以参考以下错误码说明快速异常原因。

如果用户收到error:xxxxx类型的错误码（例如，error:0Hidd），可联系阿里云售后支持协助排查。