Q1:驗證碼預設QPS是多少?超出後有什麼業務影響?
驗證碼預設支援 1000 QPS,超出後調用將失敗。如需更高業務容量,可購買擴容 QPS。下單後不會立即生效,請至少提前2天聯絡客戶經理進行溝通和配置。
Q2:對於高並發的大促活動等情境有什麼解決方案?
最高支援2WQPS,為高優流量部署專屬高效能叢集,實現資源隔離,支撐峰值並發,超過約定QPS規格後,支援智能限流繞行機制,在系統過載時仍保障關鍵請求無損通過,兼顧穩定性與商務持續性。如果需要大促活動保障,請提前聯絡客戶經理進行溝通確認,並付費額外商務方案。
Q3:驗證碼安全效果如何保障?
驗證碼2.0除基礎的JS混淆機制外,更有動態校正機制,防止JS被逆向後產生的協議刷請求攻擊方式,另外基於使用者產生的行為軌跡資料進行機器學習建模,結合訪問頻率、裝置特徵、行為異常等多個維度資訊,快速準確返回人機判定結果,解決了傳統驗證碼基於字元維度容易被OCR識別破解的問題。產品也提供了AIGC產生的映像複原的驗證形態,可以在控制台中直接切換生效,極大地增強攻擊者對抗成本,有效防禦自動化攻擊。
Q4:驗證碼的防護範圍是什麼,能攔哪種惡意請求?
驗證碼是基於圖靈測試理念設計的人機驗證機制,主要通過互動模式有效防止機器人自動註冊、刷票、爬蟲攻擊等行為,廣泛應用於網站和App的安全防護中。那麼如果攻擊者投入大量成本進行環境及行為類比逼近真人,或者僱傭真人去進行驗證,那驗證碼產品就無法識別和防護,需要有更多的業務環節的多維安全方案來對抗攻擊。
Q5:若對驗證碼安全效果不滿意應該怎麼辦?
驗證碼服務在業務前進行安全校正,會優先保障準確性。若業務遭受黑產攻擊困擾,期望能夠攔截更多異常請求,建議登入驗證碼控制台,選擇對應的情境ID,配置自訂策略:
將策略強度從【基礎模式】調整為【攻防模式】,調整後,驗證碼服務將以更嚴格的安全性原則對驗證請求進行攔截,但可能會引起少量誤傷。
訪問頻次閾值調整,根據實際業務和攻擊頻率的分析,對基於IP或者裝置維度安全性原則閾值進行針對性調整,更適合實際業務中的攻擊防護。
其他實際攻擊特徵的針對性策略配置,比如驗證碼頁面被劫持或者模擬器的識別攔截等。
也可選擇安全水位更高的驗證方式:映像複原驗證。由於映像複原驗證的還原邏輯更複雜,比其他驗證方式能更好地攔截異常請求。
Q6:自訂策略裡的基礎模式和攻擊模式的區別是什嗎?應該怎麼選?
這兩個模式都是針對驗證碼產品預設的兩個安全性原則合集,基礎模式常用於風險不高的業務情境(內網員工登入等),優先保障異常請求識別的準確性。攻防模式是更多更複雜識別維度安全性原則合集,用於攔截更多的異常特徵,但可能會引起一些誤傷,可在攻擊停止後切回基礎模式。
Q7:無痕驗證和其他驗證的區別是什嗎?
基礎驗證形態包含:一點即過、滑塊驗證、拼圖驗證和映像複原驗證,調用這幾種驗證碼100%顯示驗證碼。無痕驗證是獨立邏輯,安全使用者無感即可通過驗證進入下一步業務操作,風險使用者會彈出配置好的基礎驗證形態(即一點即過、滑塊驗證、拼圖驗證和映像複原驗證)。驗證碼形態在控制台情境管理的編輯頁面可以隨意切換,無痕驗證雖然在接入中做了相容,但基於更好的相容性考慮,如果需要接入無痕驗證,建議用單獨的情境ID管理。
Q8:什麼時候更適合選擇無痕驗證?
無痕驗證在首次判斷風險時判斷為安全使用者則無任何校正感知,優先用於對體驗較好且低風險的業務情境。由於無痕首次判斷風險依賴於採集裝置環境和驗證碼所在頁面的一些操作等基礎資訊,APP端Webview+H5接入方式不建議選擇無痕驗證,Webview內沒有業務操作,僅包含驗證碼驗證時,無痕形態會導致全量攔截。
Q9:無痕什麼情況下會出二次挑戰的驗證?
基於頁面載入時採集的裝置、環境、頁面鍵鼠等行為資訊輸入,根據首次校正的安全風險策略合集判斷是否該出二次挑戰。該安全性原則邏輯不支援自訂,不對外透出。
Q10:驗證碼情境ID有什麼作用?
建立驗證情境後,可以擷取系統產生的情境ID用於接入和使用驗證碼2.0。情境ID關聯驗證碼形態、安全性原則和資料統計。
Q11:驗證碼情境ID可以部署在多個情境嗎?
可以,但是建議不同業務情境區分情境ID(比如登入、註冊、修改密碼等不同業務情境),以便區分不同情境的資料統計和針對性調整驗證形態和安全性原則。
Q12:驗證碼支援多少種語言?
預設支援17種語言,可以通過language參數來設定所需的語言。如果產品提供的語言不能滿足您的需求,您可以在initAliyunCaptcha函數中的language參數中填寫所需的語言類型,並自行翻譯myLang裡組件提示文案(key值)來實現。詳細參考文檔:自訂文案與多語言設定。
Q13:驗證碼上的文案是否可以自訂?
可以,通過傳參數upLang: myLang,並定義myLang來自訂驗證碼組件的文案。
Q14:拼圖驗證怎麼支援自訂底圖?
可以後台配置,如果有需要請提前7-10個工作日聯絡商務經理溝通配置,暫不收費。後續會作為產品標準功能在控制台支援,並作為收費功能,若作為付費功能發布,會提前正式進行公告通知,敬請關注。
Q15:自訂底圖需要準備的圖片格式及大小是多少?
自訂底圖僅限於拼圖驗證形態,如果有需要請提前7-10個工作日聯絡商務經理溝通配置。圖片尺寸300*200;圖片大小50KB以內。圖片數量建議130張以上(至少15張),數量越多安全能力越強。
Q16:切換驗證碼形態是否需要用戶端發布?具體怎麼切換操作?
不需要,通過控制台情境管理頁面,就可以完成驗證形態的切換,儲存後預計5分鐘左右生效。建議接入之前對所有驗證形態完成相容性測試,在不同攻防情境可以直接白屏操作切換形態,完成對抗升級。
Q17:情境管理的策略狀態切換到【測試】是什麼效果?
測試狀態下,驗證碼只檢查接入鏈路是否正常,而不會進行安全性原則判斷,僅返回設定的驗證結果(可直接設定驗證結果不通過)。主要用於測試確認所有驗證結果下的前端互動和樣式(比如滑塊驗證不通過後字型的顏色)。測試完成後,您需要切回正式狀態,預計需要5分鐘左右生效。
Q18:驗證碼的資源套件能不能餘量警示?
資源套件屬於阿里雲帳號維度售賣模式,可以在費用與成本查看到資源套件的消耗明細,也可以在費用與成本-賬戶-資源套件的路徑下,完成餘量預警設定。
Q19:驗證碼請求量如果突然增長是否可以及時發現?
可以。產品提供了兩個營運功能,一個是整合阿里雲CloudMonitor產品的警示通知,可以佈建要求量突增的監控規則,在命中規則時通過電話簡訊DingTalk等方式進行警示通知,可免費使用。具體配置文檔參考:警示通知
另一個整合阿里雲Log Service,採集並儲存驗證碼互動對應的請求和攻防日誌,輸出查詢分析、統計圖表、警示服務,費用會由阿里雲Log Service來統一結算和出賬。具體配置文檔參考:Log Service
Q20:控制台配置生效時間是多久?
大約5分鐘左右生效。