[发明专利]一种网站结合图形验证码的防御方法及其系统

权利要求书

1.一种网站结合图形验证码的防御方法，其特征在于：所述方法包括如下步骤：

步骤S1、在网站的统一入口处进行浏览器指纹的收集，收集用户的访问浏览器指纹和IP；将浏览器指纹和IP的对应关系进行存储；

步骤S2、浏览器指纹的访问量触发指定阈值或者浏览器指纹和IP的对应关系发生变更后，生成图形验证码；

步骤S3、将图形验证码发送给用户，强制用户输入正确的验证码，并且存入用户输入正确验证码的时间；

步骤S4、用户输入正确验证码后在设定时间内不触发验证码机制，等超过设定时间后，重新触发验证码机制。

2.根据权利要求1所述的一种网站结合图形验证码的防御方法，其特征在于：所述步骤S1进一步具体为：在网站的统一入口处进行浏览器指纹的收集，由于不同的系统显卡绘制canvas 时渲染参数、抗锯齿不同，则绘制成图片数据的 CRC 校验也不一样，即能根据canvas能获取浏览器指纹信息，绘制 canvas，获取图片base64 的 dataUrl，对 dataUrl这个字符串进行 md5 摘要计算，得到浏览器指纹信息；获取当前访问IP，存储浏览器指纹和IP的关联关系到redis内存数据库中；制作指纹计数器功能，存到内存数据redis中，按天累计，隔天清零。

3.根据权利要求1所述的一种网站结合图形验证码的防御方法，其特征在于：所述步骤S2进一步具体为：在统一入口处检测浏览器指纹的访问量是否触发指定阈值，否，不进行操作，是，则触发验证码机制；或者在统一入口处检测当前浏览器指纹的IP与内存数据库中的指纹和IP关系是否一致，如果发生变化，重新覆盖浏览器指纹的最新访问IP至redis内存数据库中，并且触发验证码机制。

4.根据权利要求1所述的一种网站结合图形验证码的防御方法，其特征在于：所述步骤S2和步骤S3之间还包括一步骤S20、进行session的校验操作，即具体为：步骤21、设置一session[pass]，该session[pass]用于存储用户输入图形验证码通过的时间；校验session[pass]是否存在内容，不存在则进入步骤22；存在，则校验距离session[pass]内的时间是否大于预设时间，大于则进入步骤22，小于，则不进行操作；

步骤22：存入限制标识到session，即session[limit]=1；

步骤23：用户访问网站页面，检测到session[limit]存在并且等于1，是，则进入步骤24，否，则不进行操作；

步骤24：随机生成验证码值，存入session，即用session[code]进行存储；

步骤25：调用开源的图形验证码生成库base64Captcha，生成验证码值的图形验证码，发送给用户。

5.根据权利要求4所述的一种网站结合图形验证码的防御方法，其特征在于：所述步骤S3进一步具体为：服务端验证session[code]是否存在，不存在，则不进行操作；存在，则判断是否与用户输入的值相等，相等则表示通过，清理session[code]和session[limit]，将图形验证码发送给用户，强制用户输入正确的验证码，并且存入用户输入正确验证码的时间，即session[pass]=用户输入图形验证码通过的时间。

6.一种网站结合图形验证码的防御系统，其特征在于：所述系统包括收集模块、触发验证码机制模块、验证码校验模块、以及触发机制判定模块；

所述收集模块，用于在网站的统一入口处进行浏览器指纹的收集，收集用户的访问浏览器指纹和IP；将浏览器指纹和IP的对应关系进行存储；

所述触发验证码机制模块，在浏览器指纹的访问量触发指定阈值或者浏览器指纹和IP的对应关系发生变更后，生成图形验证码；

所述验证码校验模块，将图形验证码发送给用户，强制用户输入正确的验证码，并且存入用户输入正确验证码的时间；

所述触发机制判定模块，通过用户输入正确验证码后在设定时间内不触发验证码机制，等超过设定时间后，重新触发验证码机制。