WP
WordPress 行为验证插件
可视化管理版 WordPress 插件,支持登录、注册、评论、WooCommerce 结算、自定义表单、REST API,并避免子比站点通过 TAC 后再次弹出子比原生滑块。新版已完成后台中文化。
登录/注册WooCommerce子比主题AJAX 拦截二次校验
tac-wordpress-captcha-1.2.3.zipWordPress 后台上传安装,通用接口不变,子比适配为独立开关。
下载 ZIPOfficial Plugin
可直接安装插件
优先把高频生态做成可安装包。当前 WordPress 和 Discuz X 插件已经具备后台配置、入口开关、移动端适配和服务端二次校验。
DZ
Discuz X 行为验证插件
Discuz X 可视化管理插件,支持登录、注册、发帖、回复、私信、搜索、找回密码、后台登录和手机端入口,关闭验证窗口不会放行业务提交。
Discuz X3.2-X3.5手机端原生验证码接管二次校验中文后台
tac-discuz-x-1.1.5.zip上传到 Discuz 插件目录后在后台安装,安装后更新缓存。
下载 ZIPCMS & Community
CMS / 社区程序适配包
覆盖内容站、博客、论坛、社区和会员系统,重点保护登录、注册、评论、发帖、回帖和后台入口。
TY
Typecho Plugin Starter
提供 Typecho 插件目录、后台配置项和评论二次校验样例,可继续扩展登录、发布和后台入口。
评论发布后台配置
tac-typecho-plugin-1.0.0.zip复制到 Typecho 插件目录
下载 ZIPFL
Flarum Extension Starter
提供 Flarum middleware 扩展入口,适合保护登录、注册、发帖和回帖。
登录注册讨论
tac-flarum-extension-1.0.0.zip按 Flarum 扩展结构接入
下载 ZIPWH
WHMCS Addon Starter
覆盖客户登录、注册、购物车结算、工单提交等 WHMCS 高频风险入口。
客户登录结算工单
tac-whmcs-addon-1.0.0.zip复制到 WHMCS modules/addons
下载 ZIPCommerce
电商平台适配包
重点保护注册、登录、购物车、优惠券、结算和支付前确认。Shopify 受平台限制,提供主题和 App Proxy 接入方案。
MG
Magento 2 Module Starter
提供 Magento 2 module 注册和结算拦截器骨架,适合继续接入客户登录、注册与订单流程。
客户登录注册结算
tac-magento2-module-1.0.0.zip复制到 app/code/Tac/Captcha
下载 ZIPOC
OpenCart Extension Starter
提供 OpenCart 后台模块和前台校验控制器骨架,可扩展到登录、注册、结算和优惠券。
账户优惠券结算
tac-opencart-extension-1.0.0.zip按 OpenCart 扩展结构上传
下载 ZIPPS
PrestaShop Module Starter
提供 PrestaShop module 主文件和 Hook 注册样例,适合保护客户注册、登录和订单创建。
注册订单Hook
tac-prestashop-module-1.0.0.zip复制到 modules/taccaptcha
下载 ZIPSF
Shopify App Proxy Starter
Shopify 托管结算无法像自建程序直接注入服务端插件,包内提供主题片段和 App Proxy 校验样例。
主题表单App Proxy自定义页面
tac-shopify-app-proxy-1.0.0.zip适合 Shopify 主题/应用接入
下载 ZIPBackend Frameworks
后端框架中间件
这些包用于业务服务端执行 second-verify,是安全链路的关键。前端验证成功后,仍必须由服务端确认 token。
LV
Laravel Middleware
提供 Laravel 路由中间件、配置文件和 env 示例,兼容 JSON 与普通表单请求。
Route Middlewarefail open
tac-laravel-middleware-1.0.0.zip复制到 Laravel 项目
下载 ZIPTP
ThinkPHP Middleware
提供 ThinkPHP 中间件和配置文件,适合国产 PHP 后台、官网表单和会员系统。
中间件服务端校验
tac-thinkphp-middleware-1.0.0.zip复制中间件和配置
下载 ZIPSB
Spring Boot Starter
提供 Spring Boot Properties 和 Interceptor 骨架,可注册到登录、注册、支付和后台路径。
InterceptorProperties
tac-spring-boot-starter-1.0.0.zip复制到 Spring Boot 项目
下载 ZIPEX
Express Middleware
提供 Express middleware,可用于登录、注册、下单、评论、API 防刷等路由。
Node.jsAPI 路由
tac-express-middleware-1.0.0.ziprequire 后挂到路由
下载 ZIPDJ
Django Middleware
提供 Django middleware,按路径前缀保护登录、注册、表单和后台敏感操作。
Python路径保护
tac-django-middleware-1.0.0.zip加入 MIDDLEWARE
下载 ZIPFA
FastAPI Dependency
提供 FastAPI `Depends` 依赖,适合保护 JSON API、后台接口和活动接口。
DependsAsync
tac-fastapi-dependency-1.0.0.zip路由中使用 Depends
下载 ZIPAN
ASP.NET Core Filter
提供 ASP.NET Core ActionFilter,用于 MVC/API 登录、注册、支付和提交入口。
C#ActionFilter
tac-aspnetcore-filter-1.0.0.zip注册为过滤器
下载 ZIPGO
Go Gin Middleware
提供 Gin middleware,用于登录、下单、活动、提交等 Go 服务端入口。
GinGo
tac-go-gin-middleware-1.0.0.zip挂到 Gin 路由组
下载 ZIPFrontend Components
前端组件包
前端组件只负责展示验证并拿 token,不能替代服务端 second-verify。适合和上面的后端包配套使用。
通用接入步骤
1
创建 TAC 应用在控制台创建应用,复制 App ID 和 App Secret,配置允许域名。
2
安装插件包按对应程序说明上传、复制插件目录或注册中间件。
3
前端拿 tokenSDK 完成行为验证后,把 token 放到业务表单或请求头。
4
服务端二次校验业务服务端调用 TAC second-verify,通过后再执行登录、注册、下单、发帖等动作。
核心配置参数
| 参数 | 说明 |
|---|---|
API Base | 默认 `https://tac.ptab.cn`,私有化或备用域名可改。 |
App ID | 前端可见,用于生成挑战和标识应用。 |
App Secret | 只保存在服务端插件配置里,用于 second-verify。 |
tac_captcha_token | 前端验证成功后生成的一次性 token。 |
Fail Mode | 生产建议阻断;灰度期可对低风险入口临时放行。 |
Security Checklist
插件上线前检查
插件多不是目的,关键是每个入口都要做到正确的服务端校验、域名白名单和日志追踪。
App Secret 只能放服务端配置,不能写进 JS、HTML、模板或移动端。
前端 token 必须由业务服务端向 TAC 校验,通过后才执行业务动作。
生产环境配置允许域名,避免 App ID 被其它站点滥用。
CDN 和页面缓存不要缓存 `/api/v1/captcha/*`,SDK 可按版本缓存。
先保护登录或注册,再扩展到评论、结算、活动和后台入口。
上线后观察通过率、失败原因、风险等级和调用量。
说明:WordPress 与 Discuz X 当前为可安装插件包;其它程序当前为 starter/适配包。要进入对应官方应用市场,还需要补平台审核规范、版本更新源、UI 配置页和真实环境兼容测试。