机器人恶意刷接口?加个验证码几分钟搞定!

简介: NodeJS 后端开发10 生成图片验证码并实现校验

很多时间我们会在登录或者比如一些抽奖报名页面放一个验证码

然后在后台进行校验。通过放置图片验证码,这样可以防止机器人暴力扫描重试系统接口。

当然也有些网站验证码设计的像是防止正常用户使用似的(像之前某车票网站一样。。。)

我们直接来看效果

image.png

如上图,登录表单提交一个用户名字和验证码。

后台获取输入验证码,并进行校验。

如果校验失败需要用户点击图片生成新验证码图片,然后继续提交表单校验。

输入错误图片验证码

如下图,这个例子就禁止用户继续登录,打印提示信息。

image.png

原理

某用户小白刷新登录页面,后台根据一个给定的文本来生成验证码,并把这个文本记录起来。(存储在服务器会话session)


当接受这个数字对应的图片验证码的用户,提交表单的时候。(小白需要提交验证码图片一致的文字)。


后台从会话获取对应小白的文本,进行校验。


校验成功,则认为是小白的人工操作,继续放行后续操作。

npm install -S svg-captcha

核心代码如下:

const express = require('express');
const session = require('express-session');
const serveStatic = require('serve-static');
const bodyParser = require('body-parser');
const app = express();
// parse application/x-www-form-urlencoded so that req will has a body attribute
app.use(bodyParser.urlencoded({ extended: false }))
app.use(serveStatic('./public'));
const port = 12024;
app.use(session({
  secret: '雷学委mySecret2021',
  resave: false,
  saveUninitialized: true,
  cookie: { secure: false}
}))
const svgCaptcha = require('svg-captcha');
// a function to generate captcha and display on user screen
const captChaHandler = function(req, res){
    var captcha = svgCaptcha.create();
    req.session.captcha = captcha.text;
    res.type('svg');
    res.status(200).send(captcha.data);
}
app.get('/captcha',captChaHandler);
//user will submit form with code in request body and login handler will get captcha from session and check it with given code
app.post('/login', function(req, res){
    console.log('[雷学委] try login');
    console.log('[雷学委] body:', req.body);   
    var captchaCode = req.session.captcha
    console.log('[雷学委] captchaCode:', captchaCode)
    if(req.body && req.body.code == captchaCode){
        res.status(200).send(req.body.user + " 登录验证成功!"); 
    }else{
        console.log('[雷学委] 验证码校验失败');
        res.status(400).send("BadRequest, 验证码不对!");
    }
});
console.log('listening port ' + port);
app.listen(port);

对应的我们在页面可以编写类似下面的代码(非完整,仅重点展示核心实现)

<form>
姓名: <input type="text" id="username" value="雷学委" /><br/>
验证码:<input type="text" id="code" value="" />&nbsp;<img class="captcha" src="/captcha" οnclick={$(event.target).attr('src','/captcha?'+Math.random())} /> <br/>
<input type="submit" value="Submit" />
</form>
<br/><div id="result"></div>
<script src="https://cdn.staticfile.org/jquery/3.4.0/jquery.min.js"></script>
<script>
$(document).ready(function() {
   $("form").submit(function(e){
        e.preventDefault();
        var userName = $("#username").val();
        var code = $("#code").val();
        $.ajax({
            type: 'post',
            data: {user:userName, code: code},
            url: "http://localhost:12024/login/",
            success:function(data){$('#result').html(JSON.stringify(data));},
            error:function(error){$("#result").html(JSON.stringify(error));}
        })
    });
}

主要是为了实现下面的form表单:

image.png


目录
相关文章
|
7月前
|
运维 监控 安全
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
209 0
|
7月前
|
JSON 机器人 数据安全/隐私保护
钉钉中,如何获取机器人发送群聊消息接口返回的加密消息id(processQueryKey)?
钉钉中,如何获取机器人发送群聊消息接口返回的加密消息id(processQueryKey)?【1月更文挑战第5天】【1月更文挑战第24篇】
190 5
|
4月前
|
机器人 API Python
智能对话机器人(通义版)会话接口API使用Quick Start
本文主要演示了如何使用python脚本快速调用智能对话机器人API接口,在参数获取的部分给出了具体的获取位置截图,这部分容易出错,第一次使用务必仔细参考接入参数获取的位置。
252 1
|
20天前
|
编解码 网络协议 机器人
顶顶通电话机器人开发接口对接大语言模型之实时流TTS对接介绍
大语言模型通常流式返回文字,若一次性TTS会导致严重延迟。通过标点断句或流TTS可实现低延迟的文本到语音转换。本文介绍了电话机器人接口适配流TTS的原理及技术点,包括FreeSWITCH通过WebSocket流TTS放音,以及推流协议和旁路流对接的详细说明。
|
5月前
|
机器学习/深度学习 人工智能 自然语言处理
Midjourney是一个基于GPT-3.5系列接口开发的免费AI机器人
Midjourney是一个基于GPT-3.5系列接口开发的免费AI机器人
89 0
|
7月前
|
运维 监控 安全
【优化篇】调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
【优化篇】调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
137 0
|
人工智能 自然语言处理 机器人
利用 OpenAI 接口,一个人就能完成聊天机器人
利用 OpenAI 接口,一个人就能完成聊天机器人
|
存储 NoSQL 机器人
QA 机器人实现最后一步——代码的封装和提供接口
QA 机器人实现最后一步——代码的封装和提供接口
113 0
|
XML JSON 缓存
smartivr 5.0 接口说明 (智能电话机器人话术开发接口)
什么是电话机器人 通过ASR(语音识别)和TTS(文本转语音)模拟真人和用户通话,可用于问卷调查,自动催缴等业务,电话咨询服务,支持百度,科大,阿里云,腾讯等ASR系统,可以真人预先录音,用户完全察觉不到是机器人。 怎么使用 提供RESTful API接口,php,java,等任何语言都可以开发业务流程,也提供FreeSWITCH的原生接口mod_vad,使用esl或者lua,python,dialplan 等FreeSWITCH支持的二次开发接口,也可以通过SIP让其他软交换如Asterisk支持电话机器人功能。 演示
370 0
|
机器人 API 语音技术
我不是机器人:谷歌最新版验证码系统ReCaptcha破解已开源
每个人都讨厌验证码,这些恼人的图片中包含你必须输入的字符,我们只有正确地填写才能继续访问网站。验证码旨在确认访问者是人还是程序,并防止恶意程序的入侵。然而,随着深度学习和计算机视觉技术的发展,现在这些认证方法可以被我们轻松破解了。
3338 0

热门文章

最新文章