AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 验证码 验证码2.0 操作指南 功能相关问题

功能相关问题

更新时间:
我的收藏

Q1:验证码默认QPS是多少?超出后有什么业务影响?

验证码默认支持QPS1000QPS,超出后调用会失败,若需要接入更高的业务容量,请提前联系客户经理进行沟通确认。

Q2:对于高并发的大促活动等场景有什么解决方案?

最高支持2WQPS,为高优流量部署专属高性能集群,实现资源隔离,支撑峰值并发,超过约定QPS规格后,支持智能限流绕行机制,在系统过载时仍保障关键请求无损通过,兼顾稳定性与业务连续性。如果需要大促活动保障,请提前联系客户经理进行沟通确认,并付费额外商务方案。

Q3:验证码安全效果如何保障?

验证码2.0除基础的JS混淆机制外,更有动态校验机制,防止JS被逆向后产生的协议刷请求攻击方式,另外基于用户产生的行为轨迹数据进行机器学习建模,结合访问频率、设备特征、行为异常等多个维度信息,快速准确返回人机判定结果,解决了传统验证码基于字符维度容易被OCR识别破解的问题。产品也提供了AIGC生成的图像复原的验证形态,可以在控制台中直接切换生效,极大地增强攻击者对抗成本,有效防御自动化攻击。

Q4:验证码的防护范围是什么,能拦哪种恶意请求?

验证码是基于图灵测试理念设计的人机验证机制,主要通过交互模式有效防止机器人自动注册、刷票、爬虫攻击等行为,广泛应用于网站和App的安全防护中。那么如果攻击者投入大量成本进行环境及行为模拟逼近真人,或者雇佣真人去进行验证,那验证码产品就无法识别和防护,需要有更多的业务环节的多维安全方案来对抗攻击。

Q5:若对验证码安全效果不满意应该怎么办?

验证码服务在业务前进行安全校验,会优先保障准确性。若业务遭受黑产攻击困扰,期望能够拦截更多异常请求,建议登录验证码控制台,选择对应的场景ID,配置自定义策略:

  • 将策略强度从【基础模式】调整为【攻防模式】,调整后,验证码服务将以更严格的安全策略对验证请求进行拦截,但可能会引起少量误伤。

  • 访问频次阈值调整,根据实际业务和攻击频率的分析,对基于IP或者设备维度的安全策略阈值进行针对性调整,更适合实际业务中的攻击防护。

  • 其他实际攻击特征的针对性策略配置,比如验证码页面被劫持或者模拟器的识别拦截等。

也可选择安全水位更高的验证方式:图像复原验证。由于图像复原验证的还原逻辑更复杂,比其他验证方式能更好地拦截异常请求。

Q6:自定义策略里的基础模式和攻击模式的区别是什么?应该怎么选?

这两个模式都是针对验证码产品默认的两个安全策略合集,基础模式常用于风险不高的业务场景(内网员工登录等),优先保障异常请求识别的准确性。攻防模式是更多更复杂识别维度的安全策略合集,用于拦截更多的异常特征,但可能会引起一些误伤,可在攻击停止后切回基础模式。

Q7:无痕验证和其他验证的区别是什么?

基础验证形态包含:一点即过、滑块验证、拼图验证和图像复原验证,调用这几种验证码100%显示验证码。无痕验证是独立逻辑,安全用户无感即可通过验证进入下一步业务操作,风险用户会弹出配置好的基础验证形态(即一点即过、滑块验证、拼图验证和图像复原验证)。验证码形态在控制台场景管理的编辑页面可以随意切换,无痕验证虽然在接入中做了兼容,但基于更好的兼容性考虑,如果需要接入无痕验证,建议用单独的场景ID管理。

Q8:什么时候更适合选择无痕验证?

无痕验证在首次判断风险时判断为安全用户则无任何校验感知,优先用于对体验较好且低风险的业务场景。由于无痕首次判断风险依赖于采集设备环境和验证码所在页面的一些操作等基础信息,APPWebview+H5接入方式不建议选择无痕验证,Webview内没有业务操作,仅包含验证码验证时,无痕形态会导致全量拦截。

Q9:无痕什么情况下会出二次挑战的验证?

基于页面加载时采集的设备、环境、页面键鼠等行为信息输入,根据首次校验的安全风险策略合集判断是否该出二次挑战。该安全策略逻辑不支持自定义,不对外透出。

Q10:验证码场景ID有什么作用?

新建验证场景后,可以获取系统生成的场景ID用于接入和使用验证码2.0。场景ID关联验证码形态、安全策略和数据统计。

Q11:验证码场景ID可以部署在多个场景吗?

可以,但是建议不同业务场景区分场景ID(比如登录、注册、修改密码等不同业务场景),以便区分不同场景的数据统计和针对性调整验证形态和安全策略。

Q12:验证码支持多少种语言?

默认支持17种语言,可以通过language参数来设置所需的语言。如果产品提供的语言不能满足您的需求,您可以在initAliyunCaptcha函数中的language参数中填写所需的语言类型,并自行翻译myLang里组件提示文案(key值)来实现。详细参考文档:自定义文案与多语言设置

Q13:验证码上的文案是否可以自定义?

可以,通过传参数upLang: myLang,并定义myLang来自定义验证码组件的文案。

Q14:拼图验证怎么支持自定义底图?

可以后台配置,如果有需要可以联系商务经理沟通,暂不收费。后续会作为产品标准功能在控制台支持,并作为收费功能,若作为付费功能发布,会提前正式进行公告通知,敬请关注。

Q15:自定义底图需要准备的图片格式及大小是多少?

自定义底图仅限于拼图验证形态,如果有需要可以联系商务经理沟通。图片尺寸300*200;图片大小50KB以内。图片数量建议130张以上(至少15张),数量越多安全能力越强。

Q16:切换验证码形态是否需要客户端发布?具体怎么切换操作?

不需要,通过控制台场景管理页面,就可以完成验证形态的切换,保存后预计5分钟左右生效。建议接入之前对所有验证形态完成兼容性测试,在不同攻防场景可以直接白屏操作切换形态,完成对抗升级。

Q17:场景管理的策略状态切换到【测试】是什么效果?

测试状态下,验证码只检查接入链路是否正常,而不会进行安全策略判断,仅返回设置的验证结果(可直接设置验证结果不通过)。主要用于测试确认所有验证结果下的前端交互和样式(比如滑块验证不通过后字体的颜色)。测试完成后,您需要切回正式状态,预计需要5分钟左右生效。

Q18:验证码的资源包能不能余量告警?

资源包属于阿里云账号维度的售卖模式,可以在费用与成本查看到资源包的消耗明细,也可以在费用与成本-账户-资源包的路径下,完成余量预警设置。

Q19:验证码请求量如果突然增长是否可以及时发现?

可以。产品提供了两个运维功能,一个是集成阿里云云监控产品的告警通知,可以设置请求量突增的监控规则,在命中规则时通过电话短信钉钉等方式进行告警通知,可免费使用。具体配置文档参考:告警通知

另一个集成阿里云日志服务,采集并存储验证码交互对应的请求和攻防日志,输出查询分析、统计图表、报警服务,费用会由阿里云日志服务来统一结算和出账。具体配置文档参考:日志服务

Q20:控制台配置生效时间是多久?

大约5分钟左右生效。

上一篇:客户端接入常见问题下一篇:实践教程