如何防止?
对手机号、IP、设备做一定的限制
加密自己的短信验证码发送接口,尽量防止被别人拿到
学习企鹅,直接让用户自己发短信
增加一个授权过程
方法
第一种方法是常规,有些短信服务器商已经提供了这些服务
第二种方法其实属于然并卵,接口总是会暴露的
第三种开玩笑?你让用户自己发看!
重点讲第三种
从简单的说就是在发送短信给用户之前,我们先做一套验证,如果验证通过了,再给用户发送短信,这种办法的好处是,你的请求短信的接口被别人知道了,别人还得验证一次才能成功发送短信,增加了复杂度。
简单说下流程:
第一步在client端进入发送短信的页面请求第一个步骤,获取一个验证码,这个验证码在服务器上生成,并且存到Redis等缓存服务器中,用于下次请求短信时的校验。
第二步用户填写服务器返回的验证码并带着验证码请求服务器,服务器拿着用户提交过来的验证码到缓存服务器去验证,看看验证码是否存在,如果存在就生成一个短信验证码,分别存储到本地数据库,以及调用第三方短信发送接口,向用户发送短信。
第三步用户---收到短信---输入短信码---提交
问题:
问:别人就不能拿到你获取验证码的接口,请求了验证码,再用验证码去发短信吗?
答:生成验证码后,服务器把验证码转换成图片发回前台。
方便与安全:
很多情况下根据场景的不同,短信验证的需求也各不相同,比如说登录或者注册的时候,验证码需要可以被多次使用,而且时效需求要高一点,又比如银行支付等场景必须保证验证短信只能使用一次,时效无需太高。
责任编辑:阅信短信平台
