阿里云安全类云产品,验证码使用时滑动验证流程及线上问题排查

本文涉及的产品
无影云电脑个人版,1个月黄金款+200核时
资源编排,不限时长
无影云电脑企业版,4核8GB 120小时 1个月
简介: 阿里云验证码产品,使用业界先进的风控引擎结合“规则+AI”模型,有效区分真实用户和机器自动化脚本攻击,避免机器请求造成业务损失。主要适用于垃圾注册、刷库撞库,薅羊毛,短信被刷等风险场景。为您提供安全可靠的业务环境。本文为大家介绍验证码使用时滑动验证流程及验证不通过的问题排查。

阿里云验证码产品,使用业界先进的风控引擎结合“规则+AI”模型,有效区分真实用户和机器自动化脚本攻击,避免机器请求造成业务损失。主要适用于垃圾注册、刷库撞库,薅羊毛,短信被刷等风险场景。为您提供安全可靠的业务环境。本文为大家介绍验证码使用时滑动验证流程及验证不通过的问题排查。

下图是滑动验证在用户客户端的展示效果。

验证码产品.png

产品介绍:https://www.aliyun.com/activity/security/wafcaptcha

一、滑动验证流程

滑动验证服务通过下图所示逻辑实现验证码。

滑动验证逻辑.png

1.在您的应用客户端(网页)和服务端中分别集成滑块验证功能接入代码后,在指定的客户端页面中唤醒滑块组件。

2.用户在客户端(网页)中,将滑块滑动至末端。滑块组件代码自动触发,向阿里云服务器发送验证请求,判断此次操作行为是否正常。

3.阿里云服务器利用风控技术,判断验证请求的合法性并将结果返回至应用客户端。验证结果如下:

  • 滑动验证成功:在客户端NC_Opt对象的callback参数中,获得验证请求的回调结果。
  • 滑动验证失败:客户端提示验证失败,并提示用户重新进行滑动验证。

4.客户端将收到的验签所需参数信息(param)与应用业务请求(如登录、注册)一同发送至应用服务端(该部分需要根据自身业务逻辑进行开发)。

5.应用服务端调用afs验签接口,向阿里云服务器发送请求,判断所收到的验签信息是否有效。

  • 对于JAVA、.NET、PHP、Python开发语言,您可以通过SDK使用已封装的验签方法。
  • 对于其它语言,您可以通过HTTP形式直接调用验签接口。

6.阿里云服务器收到验签请求,实时判断验签是否合法且有效。

7.应用服务端收到验签结果,结合应用业务逻辑进行处理。

  • 返回code为100,表示验签成功。
  • 返回code为900,表示验签失败。

8.应用客户端收到最终验证结果,根据业务逻辑继续执行后续业务。

二、使用教程参考

您可以通过以下方式在业务中接入滑动验证服务。

1.登录阿里云验证码控制台:https://yundunnext.console.aliyun.com 在验证码页面,选择配置管理页签。

验证码控制台.png

2.单击新增配置。
根据您的实际业务情况,设置配置名称、高峰期QPS、使用场景、业务类型,并在验证方式项选择滑动验证。

验证码配置.png

说明:高峰期QPS指您业务峰值期间每秒页面访问的次数。

3.单击下一步。

4.在系统代码集成&测试页面,妥善保存系统为您自动生成的前端和服务端的功能接入代码。

5.在您的业务前端页面和服务端中分别集成阿里云验证码提供的前端和服务端功能接入代码。

配置接入完成后,即可在您的业务中使用阿里云的最新人机识别技术实现验证码。

三、线上问题定位与排查

滑动验证默认不会采集您当前业务场景中的用户名、手机号码等业务键信息。为了便于线上问题排查,强烈建议您配置上传业务主键。这样,您可以通过“业务键+时间”的方式快速定位遇到问题的用户所关联的滑动验证请求。如果未配置上传业务键,您可能需要引导用户进行抓包才能定位到具体的日志和请求。
您可以选择以下任一方式配置上传业务键:

  • 在用户操作滑块前的任何时刻,调用滑动验证提供的setTrans方法上传业务键。
    例如,您可以在用户填写用户名(即从用户名输入框失焦)时,调用nc.setTrans('{'userName':用户名输入框value}')方法上传用户名信息;您也可以在页面加载完成时,调用nc.setTrans('{'业务会话标识':业务会话session的值}')方法上传您业务的唯一会话标识。

  • 配置elementID字段让滑动验证组件主动采集业务键信息。
    elementID值的类型是stringList。配置后在滑动结束的时刻,滑动验证组件会以elementID当中的每一个string作为ID,获取对应Dom的value值并上传。
    例如,当您配置elementID:[“usernameID”]时,在滑动结束的时刻document.getElementById(“usernameID”).value将被自动上传至滑动验证服务端。

根据返回错误码定位问题原因

当滑动验证出现异常时,用户将收到错误提示信息,错误信息中包含错误码。
通常返回此类错误码时,需要在浏览器的前端调试工具中,查看未能成功加载的js文件。对于未能成功加载的js文件的域名,通过Ping命令等方式检查本地客户端是否可以连通。如果无法正常连通,请用户检查本地网络环境。

您可以参考以下错误码说明快速异常原因。

错误码 含义
0 analyze请求超时
1 uab.js加载超时
2 um.js加载超时
4 设备指纹代码加载异常
8 waitForUmx超出重试次数限制

如果用户收到error:xxxxx类型的错误码(例如,error:0Hidd),可联系阿里云售后支持协助排查。

相关文章
|
机器学习/深度学习 人工智能 Java
验证码破解全流程实战
验证码破解全流程实战
483 0
验证码破解全流程实战
|
SQL Java
如何使用阿里云短信服务实现登录页面,手机验证码登录?1
如何使用阿里云短信服务实现登录页面,手机验证码登录?
422 0
|
3月前
|
数据采集 监控 安全
阿里云短信服务+图形认证,有效降低验证码盗刷概率
阿里云短信服务+图形认证服务,有效降低验证码盗刷概率。
331 3
阿里云短信服务+图形认证,有效降低验证码盗刷概率
|
2月前
|
安全 API PHP
港澳台验证码海外短信群发教程,利用阿里云国际如何实现境外短信操作
港澳台验证码海外短信群发教程,利用阿里云国际如何实现境外短信操作
|
6月前
|
存储 小程序 前端开发
【微信小程序 - 工作实战分享】1.微信小程序发送手机短信验证码(阿里云)
【微信小程序 - 工作实战分享】1.微信小程序发送手机短信验证码(阿里云)
541 0
|
3月前
|
存储 JSON 前端开发
node使用token来实现前端验证码和登录功能详细流程[供参考]=‘很值得‘
本文介绍了在Node.js中使用token实现前端验证码和登录功能的详细流程,包括生成验证码、账号密码验证以及token验证和过期处理。
66 0
node使用token来实现前端验证码和登录功能详细流程[供参考]=‘很值得‘
|
3月前
|
存储 NoSQL Java
|
6月前
|
前端开发 JavaScript
阿里云验证码2.0 验证时报错 前端页面获取的验证参数有问题,动态JS加载失败,请问怎么解决啊?急,急,急。
用户反馈校验时遇到错误,日志显示验证码参数获取异常。采用无痕验证,失败后,返回`{captchaResult:false,bizResult:false}`,未触发滑块二次验证。
|
7月前
|
JSON 开发工具 数据格式
App Inventor 2 接入阿里云短信服务,实现短信验证码功能
App Inventor 2 接入阿里云短信服务,实现短信验证码功能:发送短信验证码功能一般都是基于短信平台提供的sdk进行调用,这里是基于阿里云短信平台进行的开发。
235 1
|
7月前
|
Java Maven
(短信服务)java SpringBoot 阿里云短信功能实现发送手机验证码
(短信服务)java SpringBoot 阿里云短信功能实现发送手机验证码
1493 0