验证码和风险识别联合部署方案

背景信息

风险识别（Fraud Detection）是阿里云风控系列产品，提供一站式的业务风险管理能力，帮助您解决账号注册、平台登录、营销类场景、金融类场景可能遭遇的一系列风险问题。

风险识别服务对每个访问的请求进行风险识别，并对请求进行评分、添加标签等。您可以根据评分值，对指定区间的请求唤起验证码，进行验证，放行验证通过的请求，为您的业务提供双重保障。

场景示例

• 业务场景

  您的网站即将进行营销活动，需要避免作弊等情况，解决营销活动中所遇到的欺诈等问题。

• 解决方案

  同时将业务接入风险识别和验证码2.0。根据风险识别返回的评分值，为各区间的请求配置处置方案。

  说明

  本文以工作原理中的评分区间及对应的处置建议为例。您可以根据实际业务情况，自行配置处置方案。

• 工作原理

  

• 流程时序图

  

  流程时序图说明：

  1. 用户注册、登录网站，参加营销活动。应用客户端收到用户请求后，发送业务信息到应用服务端。

  2. 应用服务端向阿里云发起风险识别请求。

  3. 阿里云风险识别判断请求风险情况。

  4. 阿里云风险识别将请求评分、标签返回给应用服务端。

  5. 应用服务端根据设置的处置方案，对请求进行处置：

     1. 高风险请求：拒绝。

     2. 低风险请求：通过。

     3. 中风险或中高风险的请求：唤起验证码。

        1. 用户在客户端页面完成验证码交互，并将验证码回调函数返回的信息发送到应用服务端。

        2. 应用服务端向阿里云发起验证码请求。

        3. 阿里云验证码2.0判断风险。

        4. 阿里云验证码2.0将验证结果（通过或不通过）返回给应用服务端。

        5. 应用服务端将收到的验证结果（通过或不通过）返回给应用客户端。应用客户端显示验证结果提示信息，并进行业务处理。

操作步骤

1. 开通验证码2.0和风险识别。

2. 将业务接入风险识别。具体操作，请参见SDK方式调用或HTTPS原生调用。

3. 本示例参数说明，请参见营销风险识别功能及参数说明和公共参数。

4. 在应用服务端配置不同评分区间的请求对应的处置方案。

5. 在应用客户端和服务端集成验证码2.0。具体操作，请参见接入指引。

完成如上配置后，当用户向应用客户端发起请求时，风险识别会对该请求进行评分。应用服务端在收到评分后，会根据处置方案处置该请求。如果该请求评分在[40,85）区间中，则会唤起验证码，进行验证。验证通过，该请求被放行，否则被拒绝。

常见问题

• 这个方案需要的验证码是什么模式？

  验证码2.0提供的无痕验证、滑块验证、拼图验证、空间推理四种形态都可以。

• 这个方案与无痕模式验证逻辑的差异在哪里？

  本方案是先通过风险识别验证逻辑判断是否需要唤起验证码，如果需要唤起验证码，且验证码是无痕模式时，再执行无痕模式验证逻辑。例如，风险识别判断用户是低风险用户，即不需要唤起验证码，也不会再继续执行验证码逻辑。

  

相关文档

• 什么是风险识别

• 什么是验证码2.0