驗證碼的由來

幾年前，大部分網(wǎng)站、論壇之類的是沒有驗證碼的，因為對于一般用戶來說驗證碼只是增加了用戶的操作，降低了用戶的體驗。但是后來各種灌水機(jī)器人、投票機(jī)器人、惡意注冊機(jī)器人層出不窮，大大增加了網(wǎng)站的負(fù)擔(dān)同時也給網(wǎng)站數(shù)據(jù)庫帶來了大量的垃圾數(shù)據(jù)。為了防止各種機(jī)器人程序的破壞，于是程序員想出了只有人眼能夠識別的，程序不容易識別的驗證碼！

驗證碼是一個圖片，將字母、數(shù)字甚至漢字作為圖片的內(nèi)容，這樣一張圖片中的內(nèi)容用人眼很容易識別，而程序?qū)o法識別。在進(jìn)行數(shù)據(jù)庫操作之前（比如登錄驗證、投票、發(fā)帖、回復(fù)、注冊等等）程序首先驗證客戶端提交的驗證碼是否與圖片中的內(nèi)容相同，如果相同則進(jìn)行數(shù)據(jù)庫操作，不同則提示驗證碼錯誤，不進(jìn)行數(shù)據(jù)庫操作。這樣各種機(jī)器人程序就被拒之門外了！

但是隨著計算機(jī)科學(xué)的發(fā)展，模式識別等技術(shù)越來越成熟，于是編寫機(jī)器人程序的家伙可以通過程序?qū)⒅苯訉懺趫D片中的內(nèi)容識別出來，然后提交到服務(wù)器，這樣驗證碼將形同虛設(shè)。為了防止機(jī)器人程序的識別，驗證碼的圖片生成也不斷在發(fā)展，加入干擾點(diǎn)、干擾線，文字變形、變換角度位置，顏色不同……各種防止計算機(jī)識別的技術(shù)也應(yīng)用到驗證碼中。就在這兩種技術(shù)的競爭中，于是便形成了我們現(xiàn)在看到的驗證碼，已經(jīng)有很多人在抱怨“這是什么驗證碼哦，人眼都分辨不清楚是什么”，一切也是無奈。

驗證碼的使用

驗證碼是針對各種機(jī)器人程序的，所以驗證碼圖片中的內(nèi)容是不能存放在Cookie、HTML和URL中的，如果看到一個驗證碼圖片的URL是http://xxxxxx.com/Expwd.aspx?code=1af8 而驗證碼圖片中的內(nèi)容就是1af8那將是十分可笑的事情。同時，如果通過抓包發(fā)現(xiàn)了Cookie中保存了驗證碼的值或者查看HTML時看到了形如：< input type="hidden" id="exPwd" name="exPwd" value="1af8"/>這樣將驗證碼的內(nèi)容放在隱藏元素中也是不可思議的。對于這些行為，顯然是這個程序員不知道驗證碼是拿來干什么的，只是別人的網(wǎng)站上有驗證碼，與自己的網(wǎng)站也弄一個來趕時髦。另外還有一種好笑的是驗證碼看上去像是驗證碼，結(jié)果看HTML代碼居然不是一個圖片，而是一個< span>1< /span>< span>a< /span>< span>f< /span>< span>8< /span>。大家不要不以為然，以上這幾種情況還真是我現(xiàn)實生活中遇到過的，當(dāng)年寫投票機(jī)器人的時候遇到這種情況我***興了?。。?/P>

驗證碼的內(nèi)容必須保存在服務(wù)器端，一般我們可以將隨機(jī)生成的驗證碼的內(nèi)容放入Session中，用戶提交的時候?qū)⑻峤坏膬?nèi)容與Session中的驗證碼進(jìn)行比較判斷。在生成驗證碼的頁面后臺代碼可以寫為：

protectedvoidPage_Load(objectsender,EventArgse)  
{  
stringcheckCode=CreateCode(4);  
Session["CheckCode"]=checkCode;  
CreateImage(checkCode);  
} 

比如在登錄進(jìn)行驗證的時候可以寫為：

protectedvoidbtnLogin_Click(objectsender,ImageClickEventArgse)  
{  
if(Session["CheckCode"]==null)  
{  
UIHelper.Alert(Page,"驗證碼已過期，請重新輸入");  
return;  
}  
if(Session["CheckCode"].ToString().ToLower()!=txbCode.Text.ToLower())  
//驗證碼忽略大小寫  
{  
UIHelper.Alert(Page,"驗證碼錯誤");  
return;  
}  
//數(shù)據(jù)庫驗證……  
}  

C#搞定網(wǎng)站驗證碼

前面我們已經(jīng)對整個驗證碼的原理和使用有了基本的了解，現(xiàn)在言歸正傳，講講如何C#搞定網(wǎng)站驗證碼。這里我們以CSDN的登錄為例。

1.在IE中正常登錄一次并把登錄時候的數(shù)據(jù)包抓下來。

2.分析其中的登錄原理如下：

1）請求http://passport.csdn.net/UserLogin.aspx頁面，與服務(wù)器建立會話，服務(wù)器返回一個SessionID在HTTP的Header中，如下，其他內(nèi)容我們可以忽略。

2）該頁面返回的HTML中有一個<input type="hidden" name="ClientKey" value="a50b14fa-2a75-4364-bbeb-3b498b72aa46" />這個值在登錄提交時也需要，所以需要從HTML代碼中分離出來。

3）將該SessionID作為Cookie的內(nèi)容發(fā)送到驗證碼生成的頁面http://passport.csdn.net/ShowExPwd.aspx該頁面將返回一個圖片的二進(jìn)制流。

4）將返回的二進(jìn)制流轉(zhuǎn)換為圖片并呈現(xiàn)給用戶。

Imageimg=newBitmap(  
Http.GetStreamByBytes(
aspcookie,outheader));//獲得驗證碼圖片  
this.pictureBox1.Image=img; 

以上介紹C#搞定網(wǎng)站驗證碼

【編輯推薦】

1. C# Iterator迭代器模式
2. 概述C# New運(yùn)算符
3. C# WiteOne學(xué)習(xí)筆記
4. 用C# ListView顯示數(shù)據(jù)記錄
5. C# ConfigDlg.cs源程序