如何实现图片验证码的生成与校验？

wen java案例 2026-06-06 49

从原理到实战的完整指南

目录导读

验证码的核心价值：为什么需要图片验证码？
生成技术拆解：字体、扭曲、噪点与颜色的交互设计
校验逻辑深析：服务端比对与防御策略
代码实战：Python+Flask 实现简易验证码系统
常见陷阱与优化：对抗OCR攻击与用户体验平衡
问答环节：解决你90%的验证码疑问

验证码的核心价值：为什么需要图片验证码？

在互联网早期,验证码（CAPTCHA）的诞生是为了区分“人类”与“机器”。图片验证码通过扭曲字符、添加干扰线、随机颜色等视觉干扰，使自动化脚本难以识别，从而保护网站免受暴力破解、垃圾注册、爬虫滥用等攻击。

如何实现图片验证码的生成与校验？

关键数据：根据某安全机构统计，未设置验证码的登录接口被自动化攻击的概率是设置了验证码的47倍，验证码的设计需在“安全性”与“用户体验”间取得平衡——过于复杂会赶走真实用户，过于简单则形同虚设。

生成技术拆解：字体、扭曲、噪点与颜色的交互设计

字符生成核心要素

字符集：推荐 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ（排除易混淆的0/O、1/I/L），长度4-6位。
字体选择：使用多种手写体（如 Capture it、Komika Axis），避免系统默认字体（易被OCR识别）。
颜色随机：每个字符使用不同颜色，且颜色需在背景色上清晰可见（RGB差值大于80）。

图像处理技巧

# 示例：PIL库中扭曲与噪点生成
from PIL import Image, ImageDraw, ImageFont, ImageFilter
import random
def create_noise(image):
    draw = ImageDraw.Draw(image)
    for _ in range(random.randint(100, 300)):  # 随机噪点数量
        x = random.randint(0, image.width)
        y = random.randint(0, image.height)
        draw.point((x, y), fill=(random.randint(0,255), random.randint(0,255), random.randint(0,255)))
    return image

扭曲效果：通过 ImageTransform 或模拟波浪函数（sin、cos）使字符变形。
干扰线：绘制随机弧线或贝塞尔曲线，颜色与字符不同，宽度为1-2像素。
噪点颗粒：散布不同颜色的像素点，密度控制在画面面积的3%-5%（过高影响识别）。

抗识别进阶设计

背景渐变：避免纯色背景，使用线性或放射性渐变。
字符粘连：通过调整字符间距（-2到2像素），使相邻字符部分重叠。
角度旋转：每个字符随机旋转 ±15度，且旋转中心随机偏移。

校验逻辑深析：服务端比对与防御策略

标准校验流程

生成验证码时,将文本值加密（如MD5+盐值）存入Session或Redis。
用户提交时,服务端解密比对。
校验完成后,立即销毁Session中的验证码（防止重放攻击）。

安全增强措施

时间窗口限制：验证码有效期为60秒，超时自动失效。
频率控制：同一IP 5分钟内最多生成3次验证码（防枚举）。
令牌绑定：将验证码与用户会话ID、请求参数（如当前时间戳）绑定，防止跨站请求伪造。

代码级防御

# 校验逻辑示例
def validate_captcha(user_input, session_captcha):
    if time.time() - session_captcha.get('create_time') > 60:
        return False  # 超时
    return user_input.upper() == session_captcha.get('value')

代码实战：Python+Flask 实现简易验证码系统

环境准备

pip install flask pillow  # 安装依赖

核心生成函数（约80行）

from flask import Flask, session, make_response, request
import io, random, string
from PIL import Image, ImageDraw, ImageFont, ImageFilter
app = Flask(__name__)
app.secret_key = 'your_secret_key_here'  # 生产环境请更换
def generate_captcha():
    # 1. 随机字符（4位大写字母数字混合）
    chars = ''.join(random.choices(string.ascii_uppercase + string.digits, k=4))
    # 2. 创建背景图（160x60像素，随机浅色背景）
    img = Image.new('RGB', (160, 60), color=(random.randint(200,255), random.randint(200,255), random.randint(200,255)))
    draw = ImageDraw.Draw(img)
    # 3. 添加噪点（200个随机点）
    for _ in range(200):
        draw.point((random.randint(0,160), random.randint(0,60)), fill=(random.randint(0,200), random.randint(0,200), random.randint(0,200)))
    # 4. 写入字符（不同颜色、随机位置）
    font = ImageFont.truetype('arial.ttf', 36)
    for i, ch in enumerate(chars):
        draw.text((10 + i*35 + random.randint(-5,5), random.randint(5,15)), 
                  ch, font=font, fill=(random.randint(0,150), random.randint(0,150), random.randint(0,150)))
    # 5. 添加干扰线（2条随机曲线）
    for _ in range(2):
        x1, y1 = random.randint(0,80), random.randint(0,60)
        x2, y2 = random.randint(80,160), random.randint(0,60)
        draw.line([(x1, y1), (x2, y2)], fill=(random.randint(0,150), random.randint(0,150), random.randint(0,150)), width=2)
    # 6. 模糊+扭曲（可选）
    img = img.filter(ImageFilter.SMOOTH_MORE)
    return img, chars
# 生成接口：返回图片并存储校验值
@app.route('/get_captcha')
def get_captcha():
    img, text = generate_captcha()
    session['captcha'] = text  # 生产环境建议加密存储
    buf = io.BytesIO()
    img.save(buf, 'JPEG', quality=70)
    resp = make_response(buf.getvalue())
    resp.headers['Content-Type'] = 'image/jpeg'
    return resp
# 校验接口
@app.route('/check_captcha', methods=['POST'])
def check():
    user_input = request.form.get('code', '')
    if user_input.upper() == session.get('captcha', ''):
        return '验证通过'
    else:
        return '验证失败'