这个校验码保存在 Session 中不太好。

如果客户在请求验证码之后就关闭微信干其它事去了，收到验证码的时候重新打开微信，现在不能保证微信进程没被手机系统杀掉，如果是杀掉了，重启的进程，那再进来这个页面肯定不是同一个 Session 了。

所以还是保存在数据库中吧，或者用第三方缓存服务。

可以考虑用redis，简单方便
redis的数据保存在内存中，读写很快
可以设置过期时间，到点自动清除，不需你在去操作
我现在的项目就用的redis

文档可以访问：http://redisdoc.com/

从安全上讲 存session要求发请求的和输入验证码的是同一个人 相对更稳妥 不然把用户的输入去跟哪条记录对比呢？

存session啊，session消失就失效，不用搞redis那么复杂