.NET 使用 Google 验证码(Google reCAPTCHA)
一. 前言
前段时间,发现注册受到了恶意攻击,一天注册量10w+,接口已从IP做了限制,但不管用,对方每一次发起的IP都不一样;紧急做了滑动验证码,虽然上线立马就阻止了恶意请求;
但好景不长,没过几天,对方估计是接了打码平台,注册量再一次上来了
目前接入google reCAPTCHA 验证码,目前稳定已经跑了两三个月了,目前比较稳定。
二. Google reCAPTCHA 介绍
验证码在我们实际的生活场景中非常常见,可以防止恶意破解密码、刷票、论坛灌水、刷注册等等。现在的网站基本都有使用验证码来对用户的行为进行验证。从简单的文字验证码、图片验证码、滑动验证码、图片选择验证码等,验证码一直在进化,在和“黑恶势力”做斗争。Google 验证码是 Google 提供的一项免费的验证码服务,接入非常简单,推荐用它来替换传统的图片验证码。
Google reCAPTCHA 目前已经推出V3版本,比V2版本更加安全而且简单。本文主要也是介绍V3版本的使用。Google reCAPTCHA 是采用用户行为验证类型的验证码,目前来说几乎不能被打码平台自动打码(这里指 Google reCAPTCHA 并不是指所有用户行为验证码,据说Google reCAPTCHA还是用了js vmp虚拟机技术),也只能人工打码。
V3 版本不需要点击
隐藏验证码浮窗:
v3版本不需要点击,因此如果你不想要右下角的google reCAPTCHA的浮窗也可以把这个隐藏,隐藏不影响reCAPTCHA v3的校验
只需要在样式中增加一下内容
.grecaptcha-badge {display: none!important;
}Google reCAPTCHA v3 会对每一个请求返回一个评分,不需要与用户进行交互,该分数基于用户和网站的互动。它的主要流程主要分为五步:
- 使用 sitekey 加载JavaScript API
- 在操作或页面加载时调用
grecaptcha.execute - 通过请求将令牌发送到后端
- 后端将令牌和 SecretKey 发送到 Google 进行验证,Google 将会给你返回一个评分
- 判断评分是否和符合要求
评分的数值在0-1之间,越大表示用户越真实,0表示机器人。
大家可能比较关心,国内网络无法正常使用 Google reCAPTCHA ,这点 Google 给了个解决方案,提供了一个额外的域名,来解决 www.google.com 无法正常访问的问题,后文详细介绍。
三. ASP.NET Core 接入
接入过程中会用到XXX上网,请自备。
1. 获取 Google reCAPTCHA V3 Key
Key 主要分为两个 SiteKey 和 SecretKey,它们分别用于前端和后端。访问此处来创建 Key: https://www.google.com/recaptcha/admin/create
需要注意两个地方,版本选择V3,然后域名填写你网站的域名,由于是在本地进行开发测试,所以我这里直接填写 localhost。
注册成功后保存这两个 Key
2. ASP.NET Core 接入
(1)创建一个 ASP.NET Core MVC 项目
(2)执行命令安装 reCAPTCHA 组件
Install-Package reCAPTCHA.Net
(3)打开 appsettings.json 添加配置
{"Logging": {"LogLevel": {"Default": "Information","Microsoft": "Warning","Microsoft.Hosting.Lifetime": "Information"}},"AllowedHosts": "*","GoogleRecaptcha": {"SiteKey": "<你的SiteKey>","SecretKey": "<你的SecretKey>","Domain": "www.recaptcha.net","MinScore": "0.3" //最小评分,低于此评分则认为是机器人}
}Domain 指使用的 Google reCAPTCHA 服务的域名,可以是www.recaptcha.net 或者 www.google.com,使用前者可以在国内正常使用,不受GFW影响。
(4)在 Startup ConfigureServices 方法里配置
services.AddGoogleRecaptcha(Configuration.GetSection("GoogleRecaptcha"));
(5)添加一个登录表单 (Razor),并添加 Google reCAPTCHA JS
<script src="https://www.recaptcha.net/recaptcha/api.js?render=@options.Value.SiteKey"></script>
<script type="text/javascript">grecaptcha.ready(function () {grecaptcha.execute('@options.Value.SiteKey', { action: 'login' }).then(function (token) {//将Token写入隐藏域等等$("#googleToken").val(token);});});
</script>前端代码:
(6)后端验证
AccountViewModel:
public class AccountViewModel
{[Required]public string Username { get; set; }[Required]public string Password { get; set; }[Required]public string GoogleToken { get; set; }
}后端代码:
public class AccountController : Controller
{private readonly IRecaptchaService _recaptcha;public AccountController(IRecaptchaService recaptcha){_recaptcha = recaptcha;}// GET[HttpGet]public IActionResult Login(){returnView();}[HttpPost]public async Task<IActionResult> Login(AccountViewModel model){if (ModelState.IsValid){var recaptchaReault = await _recaptcha.Validate(model.GoogleToken);if (!recaptchaReault.Success || recaptchaReault.Score == 0m){ModelState.AddModelError(string.Empty, "人机验证失败,请稍后重试");}}return View(model);}
}主要的验证逻辑:
var recaptchaReault = await _recaptcha.Validate(model.GoogleToken);if (!recaptchaReault.Success || recaptchaReault.Score == 0m)
{ModelState.AddModelError(string.Empty, "人机验证失败,请稍后重试");
}注入 IRecaptchaService 使用其 Validate 方法来进行验证,需要将前端生成的Token传入,返回的结果 success 表示Token是否有效,score 表示返回的评分
四.测试运行
我们将验证逻辑的阈值改为 1,实际上很少能到达这个表示完美的值(线上目前我们设置的小于0.3验证失败),以此来触发验证失败的情况:
可以看到我们的页面显示了验证失败:
五、生产使用情况
目前项目上线之后稳定跑了一段时间,目前控制为小于0.3为人机,大于等于0.3为正常用户(这个视项目具体情况而定,项目要求高一点可以设置为0.6)。基本正常,即使有极个别用户第一次请求评分为0.1,用户重新发起一次请求基本也是0.7或0.9,基本不会出现阻止正常用户的情况。
六.资料
Google reCAPTCHA v3 doc
reCAPTCHA.AspNetCore
Admin Console 验证码使用情况
ASP.NET Core 使用 Google 验证码
.NET 使用 Google 验证码(Google reCAPTCHA)相关推荐
- 注册Maltego显示ReCaptcha is not valid,解决Google验证码服务reCaptcha失效问题
注册Maltego显示ReCaptcha is not valid,解决Google验证码服务reCaptcha失效问题 Maltego注册地址: https://www.paterva.com/we ...
- Google 人机验证(reCaptcha)无法显示解决方案
Google 人机验证无法显示解决方案 第一步 安装插件 Chrome/Edge 电脑版 Firefox 电脑版 第二步 配置插件 原理 参考文章 前言:为了防止机器人攻击,国外很多网站都使用了 Go ...
- GOOGLE 人机验证(RECAPTCHA)无法显示解决方案(可解决大多数 CSP 问题)
前言: 为了防止机器人攻击,国外很多网站都使用了 Google reCaptcha 验证码.reCaptcha 对于国外用户非常的友好,但是-对于国内用户就不怎么友好了.究其原因,则是国内网络全线屏蔽 ...
- 解决Google人机验证reCaptcha失效问题
安装Redirector插件 Firefox浏览器 1. 下载Firefox浏览器,并安装插件 2. 打开Redirector插件的界面 3. 弹出如下界面 4. 按照如下形式填写 Chrome浏览器 ...
- GOOGLE 人机验证(RECAPTCHA)无法显示解决方案(转)
前言: 为了防止机器人攻击,国外很多网站都使用了 Google reCaptcha 验证码.reCaptcha 对于国外用户非常的友好,但是-对于国内用户就不怎么友好了.究其原因,则是国内网络全线屏蔽 ...
- springbooot使用google验证码
springbooot使用google验证码 1.使用场景 2.springboot使用google验证码 1.引入依赖 2.编写配置类 3.编写控制层 4.前端实现 1.使用场景 由于需要做一个前后 ...
- 解决申请开发者office E5中无法发送手机验证码,reCaptcha加载失败
关于申请开发者office E5中无法发送手机验证码的解决方案 文章目录 关于申请开发者office E5中无法发送手机验证码的解决方案 注册过程 加载失败原因 解决过程 解决方案 注册过程 这是我的 ...
- Google Inc.:Google APIs:23' 解决方案
在导入一个项目是,出现 Unable to resolve target 'Google Inc.:Google APIs:6'第一种解决方法: compileSdkVersion 23 改成 com ...
- google +按钮_如何禁用或改善Google的Google+集成
google +按钮 If you've used Google lately, you've probably seen Google+ taking over Google's search re ...
- 101个Google技巧——Google技巧的终极收集
101个Google技巧--Google技巧的终极收集 更加全面地用Google搜索的最好方式是点击高级搜索. 它可以让你搜索更加精准的词组,"所有词组"或者是适当的搜索框里输入词 ...
最新文章
- 制作血条_unity-UGUI如何制作血条
- SpringMVC-自定义转换器
- CTime,Systemtime的比较还有转换成日期格式。
- 坐地铁可以刷学生卡吗_在沈阳办的公交卡能刷地铁吗?是学生卡,卡上写的是盛京通...
- Python修饰器的函数式编程
- 查询排序_MySQL使用UNION连接两个查询排序失效
- fence机制 linux_Linux ha fence设备测试
- WCF 第一章 基础 完成一个WCF服务客户端
- C#实现调用第三方接口进行短信验证码验证
- 高效 Windows 工作环境 Java 开发环境搭建
- Spring学习:通过黎活明视频1
- 塑料盖行业调研报告 - 市场现状分析与发展前景预测
- ansys分析遇到的几个问题解决方案【文件保存】【网格划分】【steps controls】【应力应变动画】【力负载】【干涉】【part打散】【merge合并】【分析计算量】
- 云解析 dns 服务器,你知道为什么云解析DNS又快又安全吗?
- 新元宇宙奇科幻小说原创作品每周连载地球人奇游天球记第七回月球背面
- 小样儿老师:我的嵌入式学习之路(一)
- 当彗星划过天空,那好像梦幻一般的景色,真是无与伦比,美到极致,只能让人一味眺望着那无法言喻的美。
- 关于淘宝网评论数据的抓取
- 组网技术—VLANTRUNKVTP
- SAIL-IMX7D开发板截屏工具gsnap移植