Per gestire un "captcha" è sicuramente possibile che esistano tools/librerie Java già fatte ma non ne conosco.

A livello concettuale comunque è abbastanza semplice: il captcha si mette tipicamente in una pagina web dove c'è un form da compilare e inviare, per assicurarsi che sia una persona a compilarlo/inviarlo e non un procedimento automatico (con scopi generalmente maliziosi o maligni) tramite un qualche software.

Quando si deve generare e inviare tale pagina che contiene il form, innanzitutto si imposta tipicamente una variabile di "sessione" (sul server) che contiene il numero o parola (generato a caso usando determinati criteri) da verificare. Nella pagina si inserisce un tag <img> il cui attributo src punta semplicemente ad una risorsa (usando la tecnologia Java, sarà tipicamente una servlet) che si occuperà solamente ed esclusivamente di leggere quella variabile di sessione e generare dinamicamente una immagine da inviare al client.

Quando viene inviato il form, la risorsa che si occuperà di controllare i dati (in Java una servlet o JSP) semplicemente controllerà che il numero/parola nella variabile di sessione sia uguale a ciò che viene fornito da un apposito campo del form.