gocaptcha 比手搓更可靠,因它自动绑定 session、支持一次性校验、防 ocr 的随机字体/噪点、加密存储答案并设过期时间,而手写易漏安全点。
为什么 gocaptcha 比手搓 base64 + session 更可靠
手写图片验证码容易漏掉关键安全点:比如没绑定 session ID、没做一次性校验、字体/噪点可预测导致 OCR 破解。用成熟库如 gocaptcha 或 captcha(来自 github.com/dchest/captcha)能自动处理这些。
它默认生成带唯一 id 的验证码图,并把答案加密后存进 store(支持 memory、redis),同时自动设置过期时间(默认 10 分钟)。你只要负责传 id 给前端、收参比对,不用碰图像生成逻辑。
-
captcha.NewDigit生成纯数字验证码(推荐登录场景,降低用户识别成本) - 别用
captcha.New默认的字母+数字混合——移动端小屏识别率明显下降 - 如果用了 redis store,注意
captcha.SetCustomStore必须在 handler 初始化前调用,否则仍走内存 store
如何让验证码图不被 CDN 缓存或浏览器预加载
前端常见错误是把 /captcha?id=xxx 当静态资源加 <img src="..." alt="如何在golang中实现图片验证码_web安全登录验证机制" >,结果 CDN 缓存了图、或者浏览器 prefetch 提前请求,导致用户还没点刷新,验证码就已失效。
- 必须给
<img alt="如何在Golang中实现图片验证码_Web安全登录验证机制" >加fetchpriority="low"和referrerpolicy="no-referrer" - URL 后缀强制加时间戳参数:
/captcha?id=xxx&t=<timestamp></timestamp>,否则某些代理会忽略 query 变化 - nginx 配置里要显式禁用该路径缓存:
location ^~ /captcha { add_header Cache-Control "no-store, no-cache, must-revalidate, max-age=0"; }
captcha.VerifyString 返回 false 的真实原因排查
这个函数返回 false 不代表用户输错了,大概率是服务端状态丢失或参数错位。
立即学习“go语言免费学习笔记(深入)”;
- 检查是否用了同一个
id:前端传的captcha_id和调用captcha.VerifyString(id, user_input)的id必须完全一致(大小写敏感) - 确认 store 未重启:如果用 memory store,服务重启后所有验证码立即失效;生产环境务必切到 redis
- 注意时区和过期逻辑:
captcha库内部用time.Now().unix()判断过期,若服务器时间不同步,可能提前失效 - 输入值要 trim 空格:
captcha.VerifyString(id, strings.TrimSpace(input)),否则粘贴时带空格直接失败
为什么不能把验证码答案塞进 cookie 或 localStorage
这么做等于把校验密钥明文暴露给前端,攻击者抓包就能复用 —— 完全失去验证码意义。
正确路径只有一条:服务端生成 id → 前端展示对应图片 → 用户输入 → 前端提交 id + input → 服务端用 captcha.VerifyString 查 store 校验。
- 绝对不要用
SetCookie把答案写进客户端 - 不要在 js 里拼接
/verify?answer=xxx这种接口 - 如果要用 JWT 传
id,确保 Token 有短期过期(id 本身也受 store 过期约束
最常被忽略的一点:验证码的 id 和 session ID 必须做双向绑定。比如用户 A 登录时拿到的 id,不能被用户 B 拿去验证 —— 这需要你在 store 层加一层用户维度隔离,或改用 captcha.NewLen(4, captcha.OptionDigits) 配合自定义 store 实现。