人机验证

https://www.cloudflare.com/learning/bots/how-captchas-work/

只能提高模拟人类的成本而无法保证杜绝机器

必需在自己服务器上部署

图片验证码：

发送随机图片并把图片正确答案储存在session 或加密储存在客户端，用户提交的时候验证是否正确。

行为识别：客户端收集，服务端 AI 判断

// 复制客户端收集数据重复用？有加密？

作用：

• 防止撞密码
• 防止注册机器人
• 防止消耗短信

// 安全分控：http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/antifraud-product-introduction-cn-zh-2018-02-27.pdf

Google 点击识别是什么原理，为什么还要手动点击？引导用户移动光标？

https://kevv.net/you-probably-dont-need-recaptcha/