新建验证
1. 登录 验证码控制台,左侧导航栏选择验证管理。
2. 在验证管理页面,单击创建验证码。
说明
3. 在新建验证弹窗中,根据业务场景需求,设置验证名称、客户端类型、验证方式等参数,单击确定。
参数名称 | 参数说明 | 注意 |
验证名称 | 定义验证的名称,不可超过60个字符。 | - |
验证场景 | 该验证所属的验证场景,包含账号场景、短信场景、活动场景、评论场景、数据保护场景和其他场景。 | - |
客户端类型 | 二选一,Web/App 或者微信小程序。 | - |
验证机制 | 选择验证的机制。 始终验证:所有用户都会看到行为验证。 可疑验证:仅风险用户看到行为验证。 无感验证:所有用户都不会看到行为验证。 | - |
行为验证类型 | 可选择滑动拼图、文字点选等验证方式。 | 仅滑块拼图支持滑块混淆模式。 |
风控等级 | 可选择三个风控等级,体验优先、平衡、安全优先。 | 微信小程序暂不支持修改风控等级。 |
感知模式 | 开启:用户发起验证时,即使有恶意,验证码也不会拦截,而是正常返回 ticket,在票据校验阶段,通过返回 EvilLevel 字段,标识请求是否有恶意。 关闭:用户发起验证时,若验证码发现请求有恶意,直接在前端拦截,提示:您的操作过于频繁。只有无恶意的请求,验证码会返回 ticket 给业务侧进行票据校验 | 无感验证不支持智能免验证及感知模式。 |
获取风险拦截类型 | 开启:会在票据校验阶段,通过返回 EvilBitMap 字段,标识请求的风险情况。 关闭: 当关闭获取风险拦截类型功能时,EvilBitMap 返回 NULL。 | 在感知模式或选择无感验证方式时支持开启风险获取拦截类型功能。 |
验证所属域名 | 支持多个域名校验,以英文逗号(,)分隔。 | - |
域名强校验 | 可开启域名强制校验。 | 注意: 为保障验证码功能正常使用,以下场景不建议开启域名强校验功能,请谨慎操作! 非浏览器环境 如:Node.js、Web Worker 或 Service Worker 等运行时环境。 嵌入式或沙盒环境 如:有安全限制的 iframe 或特殊沙盒。 页面核心对象被修改 如:网站代码中重写或禁用了 location、document 等浏览器原生对象。 本地文件或混合应用(Hybrid App) 如:通过 file 协议直接打开本地 HTML 文件。 |
CaptchaAppId 强制校验 | 可开启 CaptchaAppId 强制校验,避免验证码被盗刷。 | |
展示方式 | 验证码的展示方式。 | |
帮助按钮 | 验证码展示帮助按钮跳转至腾讯问题反馈页面。 | |
提示语言 | 验证码提示语言。 | 默认为“中文简体”,支持修改为“繁体”、“英文”和“自适应”,也可在客户端接入时修改。微信小程序不支持控制台修改提示语言。 |
4. 完成新建验证后,即可在验证管理页查看到已创建的验证:
验证统计
1. 在验证统计页面,支持查看所有验证的统计数据(可查询最近三个月的数据)。
2. 在验证管理页面,选择要查看的验证,单击数据总览。
3. 进入验证详情 > 总览页签,即可查看单个验证的统计数据。
验证码支持查看如下指标数据:
指标名称 | 指标说明 |
请求量 | 客户端加载验证的次数 |
验证量 | 用户回答验证问题后,发起验证的次数 |
验证通过量 | 验证通过的次数 |
验证拦截量 | 验证未通过,被拦截的次数 |
答案错误拦截率 | 因答案错误导致验证被拦截的次数/验证量 |
安全策略打击拦截率 | 因安全策略打击导致验证被拦截的次数/验证量 |
票据校验量 | 服务端发起票据校验的次数 |
票据校验通过量 | 票据校验通过的次数 |
票据校验拦截量 | 票据校验未通过的次数 |
配置
1. 登录 验证码控制台,左侧导航栏选择验证管理。
2. 在验证管理页面,选择要配置的验证,单击配置详情 > 配置。
基础配置
在配置页签,单击基础配置右上角的编辑,修改相关参数,单击保存。
参数名称 | 参数说明 | 注意 |
验证名称 | 定义验证的名称,不可超过60个字符。 | 仅滑块拼图支持滑块混淆模式。 微信小程序暂不支持修改风控等级。 无感验证不支持智能免验证及感知模式。 在感知模式或选择无感验证方式时支持开启风险获取拦截类型功能。 |
验证场景 | 该验证所属的验证场景,包含账号场景、短信场景、活动场景、评论场景、数据保护场景和其他场景。 | |
客户端类型 | 二选一,Web/App 或者微信小程序。 | |
验证机制 | 选择验证的机制。 始终验证:所有用户都会看到行为验证。 可疑验证:仅风险用户看到行为验证。 无感验证:所有用户都不会看到行为验证。 | |
行为验证类型 | 可选择滑动拼图、文字点选等验证方式。 | |
| 风控等级 | 可选择三个风控等级,体验优先、平衡、安全优先。 |
| 感知模式 | 开启:用户发起验证时,即使有恶意,验证码也不会拦截,而是正常返回 ticket,在票据校验阶段,通过返回 EvilLevel 字段,标识请求是否有恶意。 关闭:用户发起验证时,若验证码发现请求有恶意,直接在前端拦截,提示:您的操作过于频繁。只有无恶意的请求,验证码会返回 ticket 给业务侧进行票据校验。 |
获取风险拦截类型 | 开启:会在票据校验阶段,通过返回 EvilBitmap 字段,标识请求的风险情况。 关闭: 当关闭获取风险拦截类型功能时,EvilBitmap 返回 NULL。 | - |
EvilLevel 字段说明
EvilLevel | 说明 |
0 | 在生成该票据的验证码访问中,未发现任何恶意行为。 |
100 | 在生成该票据的验证码访问中,存在恶意行为。 |
EvilBitmap 字段说明
EvilBitmap 为十进制 int 类型数值,使用时需转为二进制数值,每个二进制位代表了一种风控拦截策略大类。
二进制位 | 风控拦截策略大类 | 示例 |
0 | 秒拨代理 IP 异常 | EvilBitmap 返回34,转为二进制值为100010,其二进制位1/5为1,说明对应的风控拦截策略为:IP 短时聚集异常 + 数据参数异常。 |
| 1 | IP 短时聚集异常(短时间内多次发起验证) |
| 2 | CaptchaAppId + IP 短时聚集异常(短时间内多次发起验证) |
| 3 | CaptchaAppId + IP + 设备短时聚集异常(短时间内多次发起验证) |
| 4 | 流量特征异常(例如:TCP 协议栈信息异常) |
| 5 | 数据参数异常(例如:浏览器参数异常) |
| 6 | 蜜罐异常(执行了不该执行的逻辑) |
| 7 | 行为聚类异常 |
安全设置(选填)
在配置页签,修改安全配置相关参数,单击确定修改。
参数名称 | 参数说明 | 注意 |
验证所属域名 | 支持多个域名校验,以英文逗号(,)分隔。 | - |
域名强校验 | 可开启域名强制校验。 | 注意: 为保障验证码功能正常使用,以下场景不建议开启域名强校验功能,请谨慎操作! 非浏览器环境 如:Node.js、Web Worker 或 Service Worker 等运行时环境。 嵌入式或沙盒环境 如:有安全限制的 iframe 或特殊沙盒。 页面核心对象被修改 如:网站代码中重写或禁用了 location、document 等浏览器原生对象。 本地文件或混合应用(Hybrid App) 如:通过 file 协议直接打开本地 HTML 文件。 |
CaptchaAppId 强制校验 | 可开启 CaptchaAppId 强制校验,避免验证码被盗刷。 |
外观配置(选填)
在配置页签,修改外观配置相关参数,单击确定修改。
IP 白名单
1. 登录 验证码控制台,左侧导航栏选择验证管理。
2. 在验证管理页面,选择要配置的验证,单击配置详情 > IP 白名单。
3. 在 IP 白名单页面,单击添加白名单,配置相关参数,支持输入多个 IP 地址(每个 CaptchaAppId 支持添加50个 IP 地址)。
4. 单击确定添加白名单后,风控规则将不对该 IP 下的请求生效。
告警设置
背景介绍
验证码联合 腾讯云可观测平台 提供更多维度更灵活的告警解决方案。用户可以利用腾讯云可观测平台的告警能力,设置详细的告警触发规则,并通过 多种通知渠道 接收告警,包括电话、短信、邮件、微信、客户售后 VIP 群等,从而有效提升对安全威胁的响应速度和处理效率。
操作步骤
1. 登录 验证码控制台,左侧导航栏选择告警设置。
2. 在告警设置页面,单击配置告警,跳转至 腾讯云可观测平台进行参数配置。
3. 在配置告警页面,输入告警策略名称、告警实例(CaptchaAppId)以及指标触发条件等参数,单击下一步配置告警通知。
说明:
4. 在配置告警通知页面,支持通过添加现有模板或新建通知模板两种方式添加告警通知人员,确认内容无误后,单击完成。
6. 如需对告警指标定制个性化的监控报表,可在 Dashboard 页面进行配置。详情请参见 Dashboard 文档。
更多信息
