大佬都在什么验证码方案？

你怕他刷你短信，那你不怕他刷你用的图形验证码？

接腾讯的验证码服务就好了

reCAPTCHA
在识别方面增加难度 对于前端 JS 代码的保护其实不需要太关系

代码混淆、参数加密，浏览器指纹和 ip 限流，验证方式可以随机，不要固定(推荐腾讯云的图形验证)，组合起来用，破解难度颇高

如果用的云厂商的短信发送，我这个目前用的腾讯云，配套有相应的安全策略配置之类的，比如配置发送频率，ip 限制等，同时也提供验证码服务，就是你描述的拖动类验证码，不过要收费不是免费的，这种拦截的事情交给他们来

直接扫码小程序验证（不

我用的极验

让用户主动给你发短信验证不就好了

@x2420390517 图形验证码是本机生成的免费的，短信是收费的

@atfeel 接收验证也是个问题的

@x2420390517 不一样，短信验证码可以用做短信攻击到他人
验证码只能增加刷的成本

@qq135449773 是个思路

你可以学微信，直接叫用户给你发指定短信文字验证

turnstile 试试呢

学 B 站那种，点击文字。有开源实现

搞个 PoW 验证码，吃内存和 CPU ，用不可 GPU 加速的算法

就是这个 ，https://github.com/wenlng/go-captcha

https://github.com/FriendlyCaptcha/friendly-pow
https://github.com/sequentialread/pow-captcha

试试这两个

题主是追求完美的人
1 、一般的项目，没谁来刷，用几个简单验证码组合一下，就可以拦截大多数的恶意
2 、做好 ip 地址的限流，也能拦截一大批恶意
3 、在前端可以考虑做一个钩子，曾经登录成功的；把验证码登录页面完整下载过的用户识别出来，这类可以免验证 1 次； 其他直接调用验证码接口过来的请求则进入风控流程（比如上验证码）

@atfeel 除了增加识别难度，有用的还有：
接入 ip 风险画像。普通风险的刷一次验证码，高风险的刷 10 次验证码，错一个全部重来，直接让他的打码平台费用 10 倍

参考 abode 注册的验证码，这辈子不想经历第二次。。。

@incubus 你要说防攻击他人那确实是有效的，但是 OP 好像就是为了防刷

@atfeel #10 我以为你是用那些付费的图形验证码的

@lisongeee 这个怎么监听

不接验证码，直接上微信的账号绑定，每个账号频繁过高就限制。

google recapture ，目前难度最高，爬虫最难过的验证
不要说爬虫，人也难过