系统登录图片验证码验证流程安全改进

背景：

安全部门发了一个文档，说我们平台登录的验证码有被暴力**的风险。立马看看：

漏洞风险等级：低危
涉及页面及url：http://xxxx.com/#/login
涉及参数：--
漏洞描述：登陆界面由于验证码不失效，导致可以暴力**，但**得到的账户无法登录。 
修复建议：后台设置验证码使用一次失效 

处理：

主要做好2两点：一是登录失败要刷新验证码。二是后端服务在验证后不管成功失败要把登录失败的验证码失效。

我梳理了一下流程，红色为建议改进的步骤。

https://www.processon.com/view/link/5ed7608e0791291d5dbf517f