如果你受够了传统验证码加载慢、弹复杂拼图,还担心隐私被跟踪,那这个叫 Cap 的项目可能正合你意。它是一个用 SHA-256 工作量证明(简单说就是让机器做 “小计算” 来验证身份,不是靠认图片)的验证码替代品,轻量、现代还开源,不管是开发者集成还是用户使用,体验都很友好。
一、核心构成:两大核心 + 辅助工具
Cap 不是单一工具,而是一套 “组合拳”,主要分核心组件和辅助工具,能适配不同使用场景:
1. 两大核心组件
- 前端组件 @cap.js/widget:就是用户在网页上能看到、能交互的部分。体积特别小,压缩加优化后才 12KB,加载速度飞快。它会用 Web Workers(让计算不卡页面)和 WASM(提升计算效率)处理验证过程,不用用户手动点图片、拖滑块。
- 后端组件 @cap.js/server:开发者用来生成 “验证任务” 和检查用户是否通过验证的工具。完全没依赖,不管是用 Bun、Node.js 还是 Deno 这些 JavaScript 运行环境,都能直接用,搭建起来很简单。
2. 实用辅助工具
- M2M 服务端 solver:如果你的 api 接口想公开,但又要防机器人滥用,这个工具就有用了。它能在服务端帮着解 Cap 的验证,而且不会绕过真正的 “工作量证明”,安全性不打折。
- @cap.js/cli 命令行工具:主要给开发者用的。比如测试验证码功能,或者遇到用户浏览器没开 JavaScript 的情况,用命令行就能解决验证问题。
- Standalone 独立模式:怕麻烦不想搭 JS 环境?直接用 Docker 装个独立镜像就行。它自带 REST API(能生成和验证任务)和管理界面(能管密钥),不管你用 Python、Java 还是其他语言,都能对接。
- 中间件支持:针对常用的 Web 框架做了适配,比如 Hono、Express、Elysia,能快速实现类似 Cloudflare “浏览器验证” 的效果,省得自己写复杂逻辑。
- @cap.js/wasm 实验性组件:用 Rust 写的 WASM 求解器,主要是探索更快的计算效率,适合想折腾性能的开发者。
二、为啥选 Cap?6 个核心优势
对比传统验证码(比如 reCAPTCHA、hCaptcha),Cap 的优势很明显:
1. 极致轻量化
比 hCaptcha 小 250 倍!前端组件才 12KB,网页加载时几乎不拖速度,用户不会因为等验证码而不耐烦。
2. 隐私绝对安全
不靠跟踪、指纹识别收集用户数据 —— 因为它用 “工作量证明” 代替了传统验证码的 “行为分析”。用户不用怕自己的浏览记录、设备信息被偷偷收集,完全符合 GDPR、CCPA 这些隐私法规。
3. 灵活又好改
支持自托管(就是把代码放自己服务器上),不管是前端样式(用 css 变量就能调颜色、布局),还是后端逻辑,都能按自己需求改。不想折腾也能直接用默认配置,灵活度拉满。
4. 对人友好,对 bot 狠
不用让用户认模糊的图片、拼复杂的图,验证过程要么自动在后台跑,要么点一下就好,人类用着很轻松;但机器人要通过,得完成 “工作量证明” 的计算,成本比破解传统验证码高多了。
5. 多模式适配场景
- 隐形模式:不用显示验证码框,JS 代码在后台悄悄完成验证,用户完全没感知。
- 浮动模式:平时藏起来,只有用户点提交(比如表单、登录按钮)时才弹出来,不占页面空间。
6. 完全开源免费
基于 Apache 2.0 协议开源,代码全公开,能自己审计安全性,也不用付授权费,个人和企业用都没成本。
三、能用来做啥?4 个高频场景
Cap 不是花架子,实际能用在很多需要防机器人的地方:
- 保护 API 接口:比如你做了个免费天气 API、数据查询 API,怕被机器人频繁调用刷爆服务器,加个 Cap 验证,只有通过的请求才能访问。
- 防表单 spam:网站的留言板、联系表单、评论区,经常会有机器人发广告、垃圾信息,加 Cap 后,机器人发不了,只有真人能提交。
- 阻止恶意登录:防止机器人用 “暴力破解” 试账号密码,登录前先过 Cap 验证,减少账号被盗风险。
- 避免免费服务滥用:比如免费网盘的存储空间、免费工具的使用次数,用 Cap 限制机器人批量注册账号、刷免费额度。
简单说:如果想要 “开源 + 隐私 + 轻量”,Cap 几乎是目前的优选;如果追求极致简单(不用自己搭服务),可能会选 Cloudflare Turnstile,但代价是闭源、可能有跟踪;而 reCAPTCHA、hCaptcha 虽然用的人多,但隐私和用户体验都一般。
仅供个人学习参考/导航指引使用,具体请以第三方网站说明为准,本站不提供任何专业建议。如果地址失效或描述有误,请联系站长反馈~感谢您的理解与支持!
链接: https://fly63.com/nav/4484
