最稳妥的验证码实现是使用 github.com/mojocn/base64Captcha 库,关键在于用 Redis 管理带 TTL 的验证码 ID、严格控制生成逻辑(如字符集、长度)、叠加限流与校验次数限制,而非手写图像生成。
Go 语言实现验证码服务,核心不是“造轮子”,而是选对库、控制生成逻辑、安全传递和校验。直接用 github.com/mojocn/base64Captcha 是最稳妥的起点,它不依赖外部服务、内存友好、支持多种类型,且已规避常见安全陷阱。
为什么不用自己写图像生成逻辑
手写验证码图(比如用 golang.org/x/image/draw + font)极易引入安全漏洞:字符集固定、无干扰线/噪点控制、字体可预测、尺寸硬编码导致 OCR 易破解。更关键的是,时间成本远高于集成成熟方案——你真正要控制的是「生命周期」「存储方式」和「校验时机」,不是像素绘制。
使用 base64Captcha 时注意三点:
-
config := &base64Captcha.ConfigCharacter{...}中必须设置Length: 4~6、Source: "ABCDEFGHJKLMNPQRSTUVWXYZ23456789"(剔除易混淆字符如 0/O/1/I) - 禁用默认的内存存储(
base64Captcha.DefaultMemStore),改用带 TTL 的 Redis 存储,避免内存泄漏和并发冲突 - 生成后立即调用
captcha.SetId(..., "", true)清除旧 ID,防止重放
如何安全地存储和校验验证码 ID
验证码本质是「一次性的会话凭证」,不能存在客户端或 URL 参数里。典型错误是把 captchaId 放在 cookie 或 query string 中裸传,导致被爬虫批量抓取。
立即学习“go语言免费学习笔记(深入)”;
正确做法是:
-
后端生成时,用
id, b64s, err := base64Captcha.GenerateCaptcha("", config)得到唯一id - 将
id和答案(answer)存入 Redis,key 为"captcha:" + id,TTL 设为 5 分钟(redisClient.Set(ctx, "captcha:"+id, answer, 5*time.Minute)) -
前端只接收
id和 base64 图片,提交表单时连同用户输入的captcha_value一起 POST,后端用redisClient.Get(ctx, "captcha:"+id)比对,成功后立刻Del
注意:Redis key 必须带命名空间前缀,避免和其他业务 key 冲突;比对时用 strings.EqualFold 而非 ==,兼容大小写输入。
如何防止暴力重试和绕过校验
单纯校验答案正确性远远不够。攻击者可反复请求新验证码、或跳过前端 JS 校验直接 POST 空值/默认值。
必须叠加三层防护:
- 每个
captchaId只允许最多 3 次校验尝试(Redis 中用INCR记录失败次数,超过则DEL对应 key) - 接口限流:用
golang.org/x/time/rate对/captcha和/login接口按 IP 限速(例如 10 次/分钟) - 关键动作(如登录)必须要求
captchaId和captcha_value同时存在且非空,任一缺失直接返回 400,不进业务逻辑
别忽略 HTTP 头:检查 User-Agent 是否为空或明显异常(如 python-requests),配合限流能拦截 70% 的自动化脚本。
验证码最难的部分从来不是生成图片,而是让每次校验都落在「有状态、有时效、有上下文」的闭环里。ID 生命周期管理错一步,整个机制就形同虚设。
