产品限制问题
验证码并发量限制是多少?超出后业务影响是什么?并发量是否支持调整?
1. 验证码每秒并发请求量(QPS)限制为:1000。
2. 业务请求每秒并发量超出1000时:前端加载验证码图片失败,浏览器返回报错429 (Too Many Requests);后端调用票据校验接口报错(RequestLimitExceeded)。
3. 若需要调整并发量限制,请登录 验证码控制台,单击页面右下角快速咨询,联系我们。
产品功能问题
验证码怎么拦截异常请求?
验证码拦截效果不理想?
推荐方案将风控等级调整至:安全优先。调整后,验证码服务将以更严格的风控策略对验证请求进行拦截。
选择验证方式:图形点选。由于图形点选问题更复杂,比其他验证方式能更好地拦截异常请求。
验证码只支持弹出式展示吗?
不是的,Web/App 客户端接入时,还支持嵌入式展示验证码(微信小程序暂不支持)。
嵌入式展示:验证码嵌入页面中直接展示。
弹出式展示:居中弹出验证码弹窗。
验证码服务是否支持多语言?
Web/App 客户端类型滑动拼图验证方式支持32种语言,其他验证码方式和小程序只支持中英文,配置方式如下:
2. 登录 验证码控制台 ,选择要配置的验证,单击“外观配置”,进入验证详情 > 外观配置页签,即可配置验证码提示语言为自适应(仅 Web/App 客户端类型支持)。
提示语言配置为“自适应”时,优先匹配用户系统还是浏览器设置的语言?
验证码优先根据浏览器语言进行匹配。
验证码服务是否支持私有化部署?
验证码服务暂不支持私有化部署。
验证码服务是否适配 IE 浏览器环境?
验证码服务已适配 IE9、IE10、IE11版本浏览器环境。
验证码服务是否支持短信下发验证码业务?
产品使用问题
用户回答验证问题正确,却提示“您的操作过于频繁,请稍后再试”,是什么原因?
可能的原因有:
用户使用环境异常,被策略判定为可疑用户,需要等待10-20分钟后再试,或更换网络环境后再试。
用户为恶意用户或处于恶意环境,被策略拦截。验证码服务会根据用户环境、验证历史、设备指纹等一整套立体策略模型,进行策略打击,来保证验证安全。
请核实业务客户端接入使用的 CaptchaAppId 是否为控制台创建的验证,创建合法 CaptchaAppId 步骤详情请参见 操作指南。
如果较多用户反馈出现上述问题,可能是策略等级过于严格,建议您登录 验证码控制台 ,选择所使用的验证,单击安全配置,进入验证详情 > 安全配置页签,将风控等级调整至:体验优先。
已开启“智能免验证”,为什么还会弹出验证框?
“智能免验证”并不意味着完全不弹验证框,而是基于风险智能判断实现的动态验证策略。只有当系统确信当前请求来自可信用户(例如行为特征、设备环境、历史记录等均无异常)时,才会自动放行,无需验证。
如果系统无法确认请求的安全性,仍会触发验证流程,以确保安全底线。因此,智能免验证的核心价值在于降低正常用户的验证弹框率,而非彻底消除验证。这既提升了用户体验,又保留了对潜在风险的有效拦截能力。
验证码服务如何授权子账号使用权限?
2. 在策略管理页面,搜索 QcloudCaptchaFullAccess 策略,单击"关联用户/用户组",并在 “选择添加的用户” 中勾选 “关联用户/用户组”,单击确定即可。
发现验证码被盗刷,有哪些优化方案?
若监测到验证码接口存在盗刷行为,建议从验证方式、风控策略和传输安全三个维度进行加固:
1. 升级验证类型:将当前的滑块或点击类验证码替换为图形识别、文字点选等更高交互复杂度的验证方式,提升自动化脚本的破解成本。
2. 强化风控策略:将风控模式由“体验优先”调整为“平衡”或“安全优先”,增强对异常 IP、行为轨迹等维度的识别与拦截能力,主动阻断可疑请求。
3. 启用前端参数加密:开启 CaptchaAppId 的前端加密功能,确保验证码请求必须携带时效性加密参数,防止 AppId 被直接盗用或批量调用。
开启加密后,为什么前端页面仍能看到 CaptchaAppId 和 aidEncrypted?
并非如此。虽然这两个参数在前端可见,但安全性并不依赖于它们的“隐藏”,而是通过以下机制保障:
1. 双重参数校验:仅凭 CaptchaAppId 无法获取验证码,必须同时提供有效的 aidEncrypted。
2. 时效性控制:aidEncrypted 具有可配置的有效期(最短可设为 1 秒),即使被截获,也会迅速失效。
3. 一次一密(可选增强):若对安全性要求更高,可启用“一次一密”校验模式。该模式下,每次生成的加密参数均绑定唯一随机 IV,且仅能使用一次。即便 aidEncrypted 被窃取,也无法重复用于请求验证码。
因此,加密机制结合时效与单次有效性设计,能有效抵御重放攻击和参数滥用,确保验证码服务的安全性。
