图形验证码应由后端生成并校验,前端仅负责请求、展示和提交;纯前端Canvas实现安全性极低,仅适用于学习或非敏感场景。
图形验证码在 JavaScript 中通常不直接“生成”,而是由后端生成并返回图片地址或 Base64 数据,前端负责请求、展示和提交用户输入。纯前端用 Canvas 生成简单验证码虽可行,但安全性极低,仅适用于学习或无敏感操作的场景。
后端生成 + 前端展示(推荐方式)
这是实际项目中的标准做法:验证码图片和对应文本由服务端生成并存储(如 Redis),同时返回一个唯一标识(如 captchaId)和图片地址。
- 前端发起请求获取验证码,例如:
GET /api/captcha?timestamp=123456 - 后端返回 JSON:
{"captchaId": "abc123", "imgUrl": "/captcha/abc123.png"} - 前端用
- 用户输入后,连同 captchaId 和输入值一起提交校验
前端 Canvas 简易实现(仅用于演示)
适合本地练习或内部工具,不建议用于登录、注册等关键流程。
- 创建
元素,设置宽高(如 120×40) - 用
getContext('2d')绘制背景、干扰线、随机字符(4–6位) - 字符可从
"ABCDEFGHJKLMNPQRSTUVWXYZ23456789"中随机选取 - 将生成的字符串存入 JS 变量(或 data 属性),同时绘制到画布上
- 绑定点击事件实现“换一张”,重新绘制即可
增强可用性的小技巧
提升用户体验的同时兼顾基础防护:
立即学习“Java免费学习笔记(深入)”;
- 图片加轻微扭曲或噪点(Canvas 可做,但别过度影响识别)
- 支持点击刷新,同时更新 captchaId(如果是前后端协作模式)
- 输入框添加 placeholder 提示,如“请输入图中字符”
- 错误时不清空输入框,方便用户修改
- 限制验证码有效期(如 5 分钟),后端校验时检查时间戳
基本上就这些。真正安全的图形验证码必须依赖服务端生成与校验,前端只管展示和交互。Canvas 方案看看原理可以,上线请务必交给后端。
