滑动验证是阿里巴巴集团提供的一种验证码解决方案,采用风险分析引擎,有效区分来自人类与机器人的访问行为并拦截机器风险,为您提供安全可靠的业务环境。
下图是滑动验证在用户客户端的展示效果。
产品介绍:阿里云验证码(Alibaba Captcha)
滑动验证流程
滑动验证服务通过下图所示逻辑实现验证码。
1.在您的应用客户端(网页)和服务端中分别集成滑块验证功能接入代码后,在指定的客户端页面中唤醒滑块组件。
2.用户在客户端(网页)中,将滑块滑动至末端。滑块组件代码自动触发,向阿里云服务器发送验证请求,判断此次操作行为是否正常。
3.阿里云服务器利用风控技术,判断验证请求的合法性并将结果返回至应用客户端。验证结果如下:
- 滑动验证成功:在客户端NC_Opt对象的callback参数中,获得验证请求的回调结果。
- 滑动验证失败:客户端提示验证失败,并提示用户重新进行滑动验证。
4.客户端将收到的验签所需参数信息(param)与应用业务请求(如登录、注册)一同发送至应用服务端(该部分需要根据自身业务逻辑进行开发)。
5.应用服务端调用afs验签接口,向阿里云服务器发送请求,判断所收到的验签信息是否有效。
- 对于JAVA、.NET、PHP、Python开发语言,您可以通过SDK使用已封装的验签方法。
- 对于其它语言,您可以通过HTTP形式直接调用验签接口。
6.阿里云服务器收到验签请求,实时判断验签是否合法且有效。
7.应用服务端收到验签结果,结合应用业务逻辑进行处理。
- 返回code为100,表示验签成功。
- 返回code为900,表示验签失败。
8.应用客户端收到最终验证结果,根据业务逻辑继续执行后续业务。
线上问题定位与排查
滑动验证默认不会采集您当前业务场景中的用户名、手机号码等业务键信息。为了便于线上问题排查,强烈建议您配置上传业务主键。这样,您可以通过“业务键+时间”的方式快速定位遇到问题的用户所关联的滑动验证请求。如果未配置上传业务键,您可能需要引导用户进行抓包才能定位到具体的日志和请求。
您可以选择以下任一方式配置上传业务键:
-
在用户操作滑块前的任何时刻,调用滑动验证提供的setTrans方法上传业务键。
例如,您可以在用户填写用户名(即从用户名输入框失焦)时,调用nc.setTrans(‘{‘userName’:用户名输入框value}’)方法上传用户名信息;您也可以在页面加载完成时,调用nc.setTrans(‘{‘业务会话标识’:业务会话session的值}’)方法上传您业务的唯一会话标识。 -
配置elementID字段让滑动验证组件主动采集业务键信息。
elementID值的类型是stringList。配置后在滑动结束的时刻,滑动验证组件会以elementID当中的每一个string作为ID,获取对应Dom的value值并上传。
例如,当您配置elementID:[“usernameID”]时,在滑动结束的时刻document.getElementById(“usernameID”).value将被自动上传至滑动验证服务端。
根据返回错误码定位问题原因
当滑动验证出现异常时,用户将收到错误提示信息,错误信息中包含错误码。
通常返回此类错误码时,需要在浏览器的前端调试工具中,查看未能成功加载的js文件。对于未能成功加载的js文件的域名,通过Ping命令等方式检查本地客户端是否可以连通。如果无法正常连通,请用户检查本地网络环境。详情参考官网帮助中心:阿里云验证码>滑动验证>线上问题定位与排查
您可以参考以下错误码说明快速异常原因。
| 错误码 | 含义 |
|---|---|
| 0 | analyze请求超时 |
| 1 | uab.js加载超时 |
| 2 | um.js加载超时 |
| 4 | 设备指纹代码加载异常 |
| 8 | waitForUmx超出重试次数限制 |
