Python编程：腾讯防水墙原理浅析与Flask结合测试

腾讯防水墙 地址：https://007.qq.com/

基本原理： 前端认证 + 后端认证

前端参数： id : 元素的id(必须) data-appid : AppID(必须) data-cbfn : 回调函数名(必须) data-biz-state : 业务自定义透传参数(可选)

接口发送的参数比较多，不做列举

返回参数 ret: 0, // 0 验证成功， 1 未通过验证 ticket: “String”, randstr: “String”

发送参数 aid (必填) AppSecretKey (必填) Ticket (必填) 验证码客户端验证回调的票据 Randstr (必填) 验证码客户端验证回调的随机串 UserIP (必填) 提交验证的用户的IP地址（eg: 10.127.10.2）

返回参数 response 1:验证成功，0:验证失败，100:AppSecretKey参数校验错误[required] evil_level [0,100]，恶意等级[optional] err_msg 验证错误信息[optional]，查看详细说明

现在捋一捋参数传递的方式

1. 前端 带着 AppID 和 其他参数向腾讯验证中心验证
2. 腾讯验证中心 将验证结果 ticket + randstr 返还给前端
3. 前端 将得到的参数 ticket + randstr 传递给 后端
4. 后端 将前端传递过来的参数 aid/AppSecretKey/Ticket/Randstr/UserIP 向 腾讯验证中心 进行二次验证

如图

所以，这个是前后端二次验证的机制，腾讯验证中心 充当了鉴权中心 关键点在于第四步，后端 直接向腾讯验证中心 进行最后确认 如果要破解，应该在步骤1上做文章，其他步骤有点难。。。

参考腾讯防水墙给出的文档，使用Flask做了一个简单的Demo，供参考

Demo地址：https://github.com/mouday/TencentCaptcha