java web驗證碼生成後壹般保存在哪裏？存到數據庫什麽的？

說到驗證碼，跟安全性有關，然後跟妳的時效性有關。這不是會話(本身就是客戶端使用服務器資源的唯壹憑證，而且是有時間限制的。如果用戶長時間沒有訪問服務器，這個會話會自動取消)。責任不大，可用性也不在話下。至於妳說的加密，這個是多余的。

按照樓上的說法，這是個錯誤。服務器必須保存這個驗證碼。就像我給了妳壹個驗證碼，妳可以用，我還要備份和妳比對。否則就會變成:妳說妳的驗證碼是對的，妳驗證過了，所以我信任妳。那說明沒有密碼，客戶端的所有安全認證都不可信！