答案:Python网页验证码可通过Pillow生成图形验证码或集成Google reCAPTCHA实现。1.使用Pillow生成带噪点的图像验证码,将文本存入session校验;2. 推荐生产环境使用reCAPTCHA,前端获取token后端调用API验证;3. 安全实践包括验证码一次性、设有效期、防OCR和限流;4. 替代方案有滑动验证码、短信/邮箱验证码等。
使用Pillow生成带噪点的图像验证码,将文本存入session校验;2. 推荐生产环境使用reCAPTCHA,前端获取token后端调用API验证;3. 安全实践包括验证码一次性、设有效期、防OCR和限流;4. 替代方案有滑动验证码、短信/邮箱验证码等。在Python网页版中实现验证码功能,主要是为了防止机器人自动提交表单、注册或登录等行为。常见的做法是使用图形验证码(Image CAPTCHA)或更现代的安全验证方式如reCAPTCHA。下面介绍几种主流且实用的方法。
1. 使用Pillow生成图形验证码
Python中的 Pillow 库可以用来动态生成图像验证码。这种方式适合小型项目或内部系统。
步骤如下:
- 安装依赖:pip install pillow
- 生成随机字符串(4-6位字母数字组合)
- 将字符串绘制到图片上,加入干扰线、噪点增强安全性
- 将验证码文本存入session或缓存,用于后续校验
- 通过Flask或Django返回图片流
示例代码(Flask + Pillow):
from flask import Flask, session, request, render_template from PIL import Image, ImageDraw, ImageFont import random import io import base64app = Flask(name) app.secret_key = 'your_secret_key'
def generate_captcha(): text = ''.join(random.choices('ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789', k=4)) session['captcha'] = text # 存入session img = Image.new('RGB', (120, 50), color=(255, 255, 255)) d = ImageDraw.Draw(img) font = ImageFont.load_default()
for i in range(20): # 添加噪点 x = random.randint(0, 119) y = random.randint(0, 49) d.point((x, y), fill=(0, 0, 0)) d.text((10, 10), text, fill=(0, 0, 0), font=font) # 绘制文字 buf = io.BytesIO() img.save(buf, 'PNG') img_str = base64.b64encode(buf.getvalue()).decode() return img_str@app.route('/captcha') def captcha(): img_data = generate_captcha() return {'image': f'data:image/png;base64,{img_data}'}
@app.route('/check', methods=['POST']) def check_captcha(): user_input = request.form['text'] if user_input == session.get('captcha'): return '验证成功' else: return '验证失败'
2. 集成Google reCAPTCHA(推荐用于生产环境)
reCAPTCHA 是 Google 提供的免费安全验证服务,识别机器流量更准确,用户体验更好。
支持类型:
- reCAPTCHA v2(“我不是机器人”复选框或图片挑战)
- reCAPTCHA v3(无感验证,后台评分)
集成方法:
- 访问 reCAPTCHA官网 注册站点,获取 site key 和 secret key
- 前端引入reCAPTCHA JS并渲染组件
- 提交表单时,前端获取 token
- 后端调用 Google 验证接口校验 token
后端验证示例(Python requests):
import requestsdef verify_recaptcha(token, secret_key): url = "https://www./link/f6e868a7d51f67a210dc306357c6e525/api/siteverify" payload = {'secret': secret_key, 'response': token} response = requests.post(url, data=payload) result = response.json() return result.get('success', False)
3. 安全建议与最佳实践
验证码不仅仅是生成一张图,还需注意整体安全性:
- 验证码文本不应出现在HTML源码或响应体中,应仅通过session或缓存保存
- 每个验证码只能使用一次,验证后立即失效
- 设置有效时间(如5分钟),防止重放攻击
- 避免使用简单算法或固定字体,防止OCR识别
- 对频繁请求进行限流,防止暴力破解
4. 其他替代方案
除了图形验证码,还可以考虑:
- 滑动验证码:通过前端行为判断是否为人类操作(如缺口匹配)
- 短信/邮箱验证码:结合手机号或邮箱发送一次性密码
- Honeypot技术:隐藏表单项,机器人会填写而人类不会
- 行为分析 + Token机制:记录用户点击、移动轨迹等特征
基本上就这些。对于普通项目,Pillow生成图形验证码足够;面向公众的服务建议使用reCAPTCHA等成熟方案,省事又安全。
