安全范围: 本指南仅适用于您自有或经授权的 QA、staging 与预发布环境。内容覆盖针对您自己 CAPTCHA 集成的诊断、测试与可观测性模式 — 不涉及第三方站点或未授权流程。
QA 团队经常需要在贴近真实负载的条件下验证自有 e-commerce checkout。本指南演示如何使用 CaptchaAI 在自有 staging checkout 中测试 CAPTCHA 集成 — 完全不接触第三方商店或真实支付。
安全范围
- 仅限自有或经授权的 e-commerce QA。
- staging 环境中的 checkout 集成测试。
- 自有 checkout 表单的 CAPTCHA 冒烟测试。
- 虚拟库存、虚拟商品、测试支付 token。
- 内部 endpoint 上的会话连续性测试。
- 没有QA 模拟购买,没有第三方商店。
staging checkout 的 QA 架构
尽量复制生产架构:将 checkout 前端与订单后端部署到 https://staging.example.com/checkout-test。使用一个包含虚拟 SKU 的独立数据库副本,并将支付网关配置为 sandbox 模式。
虚拟库存与测试支付
FAKE_PRODUCTS = [
{'sku': 'QA-SKU-001', 'price_cents': 9900, 'stock': 1000},
{'sku': 'QA-SKU-002', 'price_cents': 19900, 'stock': 500},
]
FAKE_PAYMENT_TOKEN = 'qa_pm_token_demo'
STAGING_CHECKOUT = 'https://staging.example.com/checkout-test'
从内部测试发送 CaptchaAI 任务
import os, time, requests
API_KEY = os.environ['CAPTCHAAI_API_KEY']
SITEKEY = os.environ['QA_TURNSTILE_SITEKEY']
def solve_turnstile():
r = requests.post('https://ocr.captchaai.com/in.php', data={
'key': API_KEY,
'method': 'turnstile',
'sitekey': SITEKEY,
'pageurl': STAGING_CHECKOUT,
'json': 1,
}).json()
task_id = r['request']
while True:
time.sleep(5)
rr = requests.get('https://ocr.captchaai.com/res.php', params={
'key': API_KEY, 'action': 'get', 'id': task_id, 'json': 1,
}).json()
if rr['status'] == 1:
return rr['request']
在自有 QA endpoint 验证 token
将生成的 Turnstile token 以 cf-turnstile-response 字段提交到内部订单 endpoint (https://staging.example.com/qa-checkout)。QA endpoint 校验 token、确认虚拟 SKU,并返回一个模拟的订单编号。
日志与 QA 指标
为每个 qa_case_id 记录:求解耗时(秒)、后端结果码、端到端时延以及重试次数。从自有 pipeline 汇总中位数、P90 与 P99 以及成功率 — 这些数值仅作为 staging 环境的参考值。
故障排除
| 问题 | 处理方式 |
|---|---|
| 测试找不到 widget | 检查 staging 环境中的选择器与等待时机 |
CaptchaAI 返回 ERROR_NO_SLOT_AVAILABLE |
在内部 pipeline 中按指数退避重试 |
| 后端 QA 拒绝 token | 对照真实配置核对 action / sitekey / secret |
| 端到端时延偏高 | 在自有环境中重新测量并检查内部网络抖动 |
可观测性
为每次 QA 运行生成结构化日志。建议采集的指标包括:token 总耗时、HTTP 响应码、任务编号、队列深度。把不同环境(development、staging、pre-production)写入独立通道,通过分布式追踪(例如 OpenTelemetry)关联 correlation id。能够基于单一 id 重放整个场景,会在事故排查时把诊断时间至少减半。
检查清单
- 测试范围严格限定在自有应用或经授权的资源。
- CaptchaAI key 存放在 CI secret 仓库或 vault,不进入源代码。
- 每次运行记录调用耗时与响应状态码。
- 为瞬时错误配置幂等的重试策略与上限。
- 测试可在 CI 中可复现地重复运行。
示例 QA 调用
下面的 Python 示例展示了在自有 staging 环境中通过 CaptchaAI 测试一个 CAPTCHA widget 的最小流程。
import os
import requests
API_KEY = os.environ['CAPTCHAAI_KEY']
QA_PAGE_URL = os.environ['QA_PAGE_URL'] # 例如 https://staging.example.com/qa-login
QA_SITE_KEY = os.environ['QA_SITE_KEY']
def submit_qa_recaptcha() -> str:
payload = {
'clientKey': API_KEY,
'task': {
'type': 'NoCaptchaTaskProxyless',
'websiteURL': QA_PAGE_URL,
'websiteKey': QA_SITE_KEY,
},
}
response = requests.post(
'https://api.captchaai.com/createTask',
json=payload,
timeout=30,
)
response.raise_for_status()
return response.json()['taskId']
def fetch_qa_result(task_id: str) -> dict:
payload = {'clientKey': API_KEY, 'taskId': task_id}
response = requests.post(
'https://api.captchaai.com/getTaskResult',
json=payload,
timeout=30,
)
response.raise_for_status()
return response.json()
常见问题
这套流程会接触生产流量吗?
不会。所有示例均假设 staging.example.com 或您自有的 QA 域名等授权环境。请在自有 staging 副本中复现生产 CAPTCHA 配置。
API key 可以写在代码里吗?
不可以。请通过 CI secret 管理器、环境变量或 vault 注入。已经提交到代码仓库的 key 必须立即轮换。
对瞬时错误你们建议什么?
幂等重试,配合指数退避(例如 1s、2s、4s)和上限。网络错误、5xx 响应和 ERROR_NO_SLOT_AVAILABLE 都适合重试;持久性的鉴权错误不应重试。
安全相关指南
- CaptchaAI 快速入门
- 授权 CAPTCHA QA 测试
- 自有表单的 CAPTCHA endpoint 测试
- 浏览器测试失败但 API 测试通过的调试
- 使用 API 解决 reCAPTCHA v2
- 使用 API 解决 Cloudflare Turnstile
- 使用 API 解决 GeeTest v3
请在自有环境中使用 CaptchaAI 验证 CAPTCHA 集成。
