短信驗(yàn)證碼接口幾乎應(yīng)用于互聯(lián)網(wǎng)所有產(chǎn)品�,如各種網(wǎng)站、app應(yīng)用以及軟件系統(tǒng)等���,主要用于用戶短信驗(yàn)證注冊���、賬戶安全登錄、用戶身份驗(yàn)證等應(yīng)用場景�����,但短信驗(yàn)證碼接口安全問題一直是企業(yè)不得不面對的問題��。
短信驗(yàn)證碼接口安全問題主要是盜刷���,對企業(yè)來說危害很大���,如消耗企業(yè)費(fèi)用,遭到客戶的投訴等��,因此做好短信驗(yàn)證碼接口的安全設(shè)計(jì)是非常重要的,那么常見的短信驗(yàn)證碼接口安全設(shè)計(jì)有哪些呢����?
1、圖形驗(yàn)證碼限制
用戶輸入圖形驗(yàn)證碼并通過之后�,再請求短信接口獲取驗(yàn)證碼。為了有更好的用戶體驗(yàn)�����,也可以設(shè)計(jì)成:一開始不需要輸入圖形驗(yàn)證碼����,在操作達(dá)到一定量之后����,才需要輸入圖形驗(yàn)證碼。具體情況請根據(jù)具體場景來進(jìn)行設(shè)計(jì)��。
2�、產(chǎn)品流程限制
例如注冊的短信驗(yàn)證碼使用場景,我們將注冊的步驟分成2步�,用戶在輸入手機(jī)號碼并設(shè)置了密碼之后,下一步才進(jìn)入驗(yàn)證碼的驗(yàn)證步驟���。
3�����、時(shí)間限制
從發(fā)送驗(yàn)證碼開始�����,前端(客戶端)會進(jìn)行一個(gè)60秒的倒數(shù)����,在這一分鐘之內(nèi),用戶是無法提交多次發(fā)送信息的請求的�����。這種方法雖然使用得比較普遍�����,但是卻不是非常有用�����,技術(shù)稍微好點(diǎn)的人完全可以繞過這個(gè)限制���,直接發(fā)送短信驗(yàn)證碼�����。
4�、手機(jī)號限制
對于同一個(gè)手機(jī)號,我們可以進(jìn)行限制���,例如�,24小時(shí)只能發(fā)送5條短信驗(yàn)證碼���,超出限制則進(jìn)行報(bào)錯(cuò)(如:系統(tǒng)繁忙�����,請稍后再試)���。然而�,這也只能夠避免人工手動(dòng)刷短信而已,對于批量使用不同手機(jī)號碼來刷短信的機(jī)器���,這種方法也是無可奈何的�。
5、前后端校驗(yàn)
這種方式比較少人說到��,個(gè)人覺得可以這種方法值得一試�����。前端(客戶端)在請求發(fā)送短信的時(shí)候��,同時(shí)向服務(wù)端提交一個(gè)Token參數(shù)����,服務(wù)端對這個(gè)Token參數(shù)進(jìn)行校驗(yàn),校驗(yàn)通過之后����,再向請求發(fā)送短信的接口向用戶手機(jī)發(fā)送短信。
6���、IP及Cookie限制
使用Cookie或者IP�,能夠簡單識別同一個(gè)用戶�����,然后對相同的用戶進(jìn)行限制(如:24小時(shí)內(nèi)最多只能夠發(fā)送20條短信)��。然而,Cookie能夠清理�����、IP能夠模擬��,而且IP還會出現(xiàn)局域網(wǎng)相同IP的情況��,因此��,在使用此方法的時(shí)候�,應(yīng)該根據(jù)具體情況來思考。 推薦閱讀:短信驗(yàn)證碼接口限制間隔時(shí)間
以上所說到的方式�����,或許不是很完美����,但是可以通過多個(gè)方式結(jié)合著來作使用,通過多個(gè)規(guī)則來降低短信被刷的風(fēng)險(xiǎn)��,但也不一定能夠完全杜絕短信被刷����,因此,我們也應(yīng)該做好短信的預(yù)警機(jī)制���,即當(dāng)短信的使用量達(dá)到一定量之后��,向管理員發(fā)送預(yù)警信息��,管理員可以立刻對短信的接口情況進(jìn)行監(jiān)控和防護(hù)����。
