pkuanvil
    • 版块
    • 标签
    • 帮助
    • 注册
    • 登录

    功能预告: hcapcha 验证码

    BBS Suggestions
    2
    2
    273
    正在加载更多帖子
    • 从旧到新
    • 从新到旧
    • 最多赞同
    回复
    • 在新帖中回复
    登录后回复
    此主题已被删除。只有拥有主题管理权限的用户可以查看。
    • A
      admin
      最后由 编辑

      最近站长调试了一下 hcaptcha 的验证码,集成不难,就是前端引入 hcaptcha 的 js 脚本加载<iframe>,然后后端负责收集 POST 数据交给 hcaptcha 验证。主要是找准确的 express 一堆路由中间件里面的 hook 点花了一些时间,理解 html 模板渲染机制花了一些时间,理解用户登录流程花了一些时间,和 CDN 缓存斗争又花了一些时间,得到的教训是改 Regex 规则以后清理缓存的范围几乎必然会大于新旧 Regex 匹配规则之和……都是泪啊

      总之 hcaptcha 功能应该是没问题,就等上线了。目前的计划是访客第一次访问(获取合法 session )时强制跳转到验证码界面,然后不影响已登录用户,并且已登录用户注销以后,后端颁发的游客 session 里面免除 hcaptcha 验证码。这个比较方便注册用户切换帐号使用(目前 NodeBB 不支持一个浏览器配置文件(profile)登录多帐号),不需要临时退出也要填验证码。当然第一次注册的新用户就没办法了,必须先填验证码才能进注册界面。

      站长清楚验证码多少都是影响用户体验的,但是本站实在不是什么资金雄厚到不怕 bot 刷流量的巨头,也不想一刀切关闭游客访问,但是游客本身也很难筛选“正常游客”和“非正常游客”,再加上本站也首先是服务p大用户为初衷,不希望引入太多非p大用户分散话题(虽然引入t大等高校可以考虑),所以就出了这个算是折衷的方案。

      替代方案可能有用浏览器指纹,可能比 captcha 侵入性更小,不过可能要收费,而且站长不清楚可靠性如何。(本站暂时不打算支持 noscript 访问,虽然 noscript 支持对注册用户也可以做)

      游客游 1 条回复 最后回复 回复 引用 2
      • 游客游
        游客 @admin
        最后由 编辑

        @admin 支持,听说之前好多树洞和机场都遭受过DDoS攻击,能有所防范当然是坠好的!

        1 条回复 最后回复 回复 引用 0
        • A admin 在 中锁定了该主题
        • A admin 从 中的 Admin 移动了该主题
        • A admin 从 中的 BBS 移动了该主题
        • 1 / 1
        • 第一个帖子
          最后一个帖子