cookie 实现验证码的原理

验证码技术用来解决网络中的恶意注册或者 DDOS 攻击，主要原理是，让用户

输入图片中的文字，如果通过了验证，服务器就在客户端浏览器保存一个验证 cookie，

比如叫做 <secure_session, 9HcxOGJMhn5j7UpmguyA4ABD>

以后用户访问服务器其他页面的时候，服务器先获取这个 cookie， 如果存在，

说明验证通过， 不存在则让用户输入验证码。

事先制作验证码图片

服务器生成 n 张验证码图片，文件名就是验证码对应的字符串。比如 nBxY.jpg

服务器使用一个 map，用来保存 <index, code> 的序对，其中 index 从

1递增直到 n， code 是验证码字符串，也是图片的文件名。

<1, nBxy>

<2, aBed>

<3, iOlx>

......

服务器生成随机的验证码图片给用户

浏览器请求一个页面，服务器先检查浏览器是否有 secure_session 的 cookie，

如果没有，就让用户输入验证码，服务器就使用哈希的方法取一张验证码图片，

显示在浏览器，哈希方法的具体步骤是：

 

服务器根据访问时间和 ip 生成一个 md5，作为 key

key = md5(time, ip)

然后计算 key 的 hash值，对其取余，得到验证码图片的索引值

index = hash(key) % n

从服务器的 map 中查找索引值 index 对应的验证码图片，返回给浏览器

 

可见，key 可以确定一张验证码图片，后面一个步骤，需要把用户输入的验证码和

验证码图片对比，以判断用户输入是否正确，为了确定用户使用的是哪张图片，我们

把 key 值保存在浏览器，即把 <temp_session, key> 作为临时 cookie 保存在

浏览器上。

服务器如何验证

验证的时候，服务器从客户取得两个属性，一个是 key 值，可以通过 temp_session

取得，一个是用户输入的验证码。

key = get_cookie("temp_session")

code = request.getParameter("code")

服务器取 key 的目的是确认用户输入的是哪个验证码的图片，确认方法为：

根据 key 计算出索引值

index = hash(key) % n

从服务器的 map 中查找 index 对应的验证码，

然后拿这个验证码跟用户输入的验证码做比较，即可验证

是否合法。 如果合法就把正式的 cookie 保存在浏览器 。