挑战-响应机制#

服务器首先向客户端发送一个挑战值，客户端必须找到正确的 nonce：

1
// 服务器端验证逻辑（伪代码）
2
calcString := fmt.Sprintf("%s%d", challenge, nonce)
3
calculated := internal.SHA256sum(calcString)
4

5
if subtle.ConstantTimeCompare([]byte(response), []byte(calculated)) != 1 {
6
    // 验证失败，拒绝访问
7
    return false
8
}

访问凭证管理#

成功通过挑战后，用户会获得一个有效期为 7 天的 JWT（JSON Web Token）。这个令牌包含：

• 挑战信息
• 颁发时间戳
• 过期时间

理论计算量#

对于难度为 4 的挑战，平均需要尝试 2^16 = 65,536 次哈希计算才能找到正确答案。这个计算量对现代计算设备来说微不足道。

实际成本评估#

根据原作者的分析，即使是资源丰富的 AI 爬虫，解决这类挑战的计算成本也极其低廉：

• 单次挑战解决成本：几乎可以忽略不计
• 月度成本：可能不到一美分
• 对大型数据中心：计算难度几乎不构成障碍