人机验证 reCAPTCHA 使用教程
v2简介
相信大家都碰到过下面的展示的 人机验证界面:
reCaptcha 是 Google 公司的验证码服务,方便快捷,改变了传统验证码需要输入n位失真字符的特点。
reCaptcha 在使用的时候是这样的:
谷歌人机身份验证只需要点一下复选框,Google 会收集一些鼠标轨迹、网络信息、浏览器信息等等,依靠后端的神经网络判断是机器还是人,绝大多数验证会一键通过,无需像传统验证码( Geetest )一样。
而像文章开头两图,展示的是 reCAPTCHA v2 界面。下表显示了 reCAPTCHA v3 和 reCAPTCHA v2 中的特性的比较。
特色 | reCAPTCHA v3 | reCAPTCHA v2 |
---|---|---|
费用 | 每月免费提供100万次调用* | 每月免费提供100万次调用* |
“我不是机器人”部件支持 | 无需 | 有 |
分数粒度(需要安全性审查) | 4 levels | 无 |
注:*每个组织免费提供100万次调用。该限制聚合了您所有帐户和所有站点的使用。
我们下面来说明一下人机验证 reCAPTCHA v3 的使用,它不需要用户去手动的验证了。
用户不用再选择哪些图里有飞机,哪些图里有汽车等。reCaptcha V3 会在后台对用户的行为进行监测,然后会返回一个分数(0-1)之间,我们就可以自定义了,小于 0.5 的就是机器人( 缺省情况下,阈值设置为0.5,可以在控制台设置为其他值),他们就需要被验证,验证手机号等。
v3申请密钥
1、先决条件
先要有一个google账户,然后再去reCaptcha官网申请网站为https://developers.google.com/recaptcha/
如果没有账户或打不开网站,请先解决先决条件
2、创建秘钥
打开 https://www.google.com/recaptcha/admin/create 页面,操作如下图:
域名:
您的注册范围仅限于您在此处输入的域名及其任何子域名。换句话说,如果您注册了 example.com,也就同时注册了 subdomain.example.com。有效域名必须具备主机,且不得包含任何路径、端口、查询或片段。
可以使用公网IP,和本地localhost,但不能用内网IP。
reCAPTCHA 类型:
选择适用于此网站密钥的 reCAPTCHA 类型。一个网站密钥只能与一种 reCAPTCHA 网站类型搭配使用。
点击提交后,我们就得到了 一个 API 密钥对 。密钥对由 站点密钥 和 密钥 组成。站点密钥用于在站点或移动应用程序上调用 reCAPTCHA 服务,而密钥授权应用程序后端与 reCAPTCHA 服务器之间的通信,以验证用户的响应。为了安全起见,密钥需要被妥善保管。
前端部署
国内使用reCAPTCHA只需要将 www.google.com 替换成 www.recaptcha.net,即可在国内使用 recaptcha 的服务。 如 https://www.google.com/recaptcha/api.js 替换成 https://www.recaptcha.net/recaptcha/api.js,https://www.google.com/recaptcha/api/siteverify 替换成 https://www.recaptcha.net/recaptcha/api/siteverify。
方式一、自动将请求绑定到按钮
1、加载JavaScript API
<script src="https://www.google.com/recaptcha/api.js"></script>
2、添加一个回调函数来处理令牌
<script> function onSubmit(token) { document.getElementById("demo-form").submit(); } </script>
3、向 html 按钮添加属性
<button class="g-recaptcha" data-sitekey="reCAPTCHA_site_key" data-callback='onSubmit' data-action='submit'>Submit</button>
方式二、以编程方式调用
为了大家方面理解,如上图,可以先看看我做的一个demo:recaptcha
1、用 sitekey(站点秘钥) 加载 JavaScript API
<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script>
2、添加一个回调函数来处理令牌
<script> function onSubmit(token) { document.getElementById("demo-form").submit(); } </script>
3、在你需要进行人机验证的操作上调用 grecaptcha.execute 方法
reCAPTCHA v3 引入了一个新概念——动作如:( action: ‘submit / login’ )。当你在每一个执行 reCAPTCHA 的地方指定一个动作名称时,你启用了以下新特性:
1、管理控制台中前10个操作的详细数据分解
2、Adaptive risk analysis based on the context of the action, because abusive behavior can vary.
操作可能只包含字母数字字符、斜线和下划线。
<script> function onClick(e) { e.preventDefault(); grecaptcha.ready(function() { grecaptcha.execute('reCAPTCHA_site_key', {action: 'submit'}).then(function(token) { // Add your logic to submit to your backend server here. }); }); } </script>
注意:
尝试将执行调用挂钩到有趣的动作,如注册、密码重置、购买或播放。
你可以使用ajax提交,也可以把 token 插入到 HTML 的 input hidden 隐藏框,一起提交到后端进行校验。
4、将令牌(token)立即发送到网站后端,并发送要验证的请求。
后端验证
后端交互检验( 如下面代码 ),得到结果,然后根据自己的需要来进行其他操作。
$token = $_POST['token']; $secret = '******'; $url = 'https://www.recaptcha.net/recaptcha/api/siteverify'; $data = array( 'response' => $token, 'secret' => $secret ); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false); curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 3); curl_setopt($ch, CURLOPT_TIMEOUT, 3); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_POST, true); curl_setopt($ch, CURLOPT_POSTFIELDS, $data); $output = curl_exec($ch); curl_close($ch); echo $output;
得到结果如下:
{ "success": true, "challenge_ts": "2022-04-21T08:39:01Z", "hostname": "xushanxiang.com", "score": 0.9, "action": "submit" }
说明:
{ "success": true|false, // 此请求是否为您站点的有效reCAPTCHA令牌 "score": number // 此请求的得分 (0.0 - 1.0) "action": string // 此请求的操作名称(重要的验证) "challenge_ts": timestamp, // 时间戳 (ISO format yyyy-MM-dd'T'HH:mm:ssZZ) "hostname": string, // 站点的主机名 "error-codes": [...] // 其它 }
演示demo
文中已经提到过,为了方便验证,再放上这个demo:recaptcha
一、前言 在如今的CTF比赛大环境下,掌握glibc堆内存分配已经成为了大家的必修课程。然而在内核态中,堆内存的分配策略发生了变化。笔者会在介绍内核堆利用方式之前先简单的介绍一下自己 ...