短信驗(yàn)證碼應(yīng)用非常廣泛,目前幾乎所有正規(guī)的網(wǎng)站注冊(cè)都會(huì)用到短信驗(yàn)證碼����,但有個(gè)領(lǐng)人頭疼的問題就是短信驗(yàn)證碼會(huì)被刷,不僅錢財(cái)受損�����,對(duì)網(wǎng)站形象也會(huì)造成很大的影響��,那么如何防止網(wǎng)站短信驗(yàn)證碼被刷呢��?下面樂信小編提供幾種方式供大家參考:
1�����、時(shí)間限制:60秒后才能再次發(fā)送
從發(fā)送驗(yàn)證碼開始�����,前端(客戶端)會(huì)進(jìn)行一個(gè)60秒的倒數(shù),在這一分鐘之內(nèi)�,用戶是無法提交多次發(fā)送信息的請(qǐng)求的。這種方法雖然使用得比較普遍�����,但是卻不是非常有用�,技術(shù)稍微好點(diǎn)的人完全可以繞過這個(gè)限制,直接發(fā)送短信驗(yàn)證碼��。
2���、手機(jī)號(hào)限制:同一個(gè)手機(jī)號(hào)�,24小時(shí)之內(nèi)不能夠超過5條
對(duì)使用同一個(gè)手機(jī)號(hào)碼進(jìn)行注冊(cè)或者其他發(fā)送短信驗(yàn)證碼的操作的時(shí)候�����,系統(tǒng)可以對(duì)這個(gè)手機(jī)號(hào)碼進(jìn)行限制���,例如,24小時(shí)只能發(fā)送5條短信驗(yàn)證碼����,超出限制則進(jìn)行報(bào)錯(cuò)(如:系統(tǒng)繁忙��,請(qǐng)稍后再試)���。然而,這也只能夠避免人工手動(dòng)刷短信而已�,對(duì)于批量使用不同手機(jī)號(hào)碼來刷短信的機(jī)器,這種方法也是無可奈何的�����。
3���、短信驗(yàn)證碼限制:30分鐘之內(nèi)發(fā)送同一個(gè)驗(yàn)證碼
網(wǎng)上還有一種方法說:30分鐘之內(nèi)���,所有的請(qǐng)求,所發(fā)送的短信驗(yàn)證碼都是同一個(gè)驗(yàn)證碼���。第一次請(qǐng)求短信接口�,然后緩存短信驗(yàn)證碼結(jié)果����,30分鐘之內(nèi)再次請(qǐng)求,則直接返回緩存的內(nèi)容�。對(duì)于這種方式���,不是很清楚短信接口商會(huì)不會(huì)對(duì)發(fā)送緩存信息收取費(fèi)用,如果有興趣可以了解了解����。
4、前后端校驗(yàn):提交Token參數(shù)校驗(yàn)
這種方式比較少人說到�,個(gè)人覺得可以這種方法值得一試。前端(客戶端)在請(qǐng)求發(fā)送短信的時(shí)候��,同時(shí)向服務(wù)端提交一個(gè)Token參數(shù)�����,服務(wù)端對(duì)這個(gè)Token參數(shù)進(jìn)行校驗(yàn)�����,校驗(yàn)通過之后���,再向請(qǐng)求發(fā)送短信的接口向用戶手機(jī)發(fā)送短信�。
5����、產(chǎn)品流程限制:分步驟進(jìn)行
例如注冊(cè)的短信驗(yàn)證碼使用場(chǎng)景,我們將注冊(cè)的步驟分成2步���,用戶在輸入手機(jī)號(hào)碼并設(shè)置了密碼之后�,下一步才進(jìn)入驗(yàn)證碼的驗(yàn)證步驟����。
6、圖形驗(yàn)證碼限制:圖形驗(yàn)證通過后再請(qǐng)求接口
用戶輸入圖形驗(yàn)證碼并通過之后�����,再請(qǐng)求短信接口獲取驗(yàn)證碼����。為了有更好的用戶體驗(yàn),也可以設(shè)計(jì)成:一開始不需要輸入圖形驗(yàn)證碼���,在操作達(dá)到一定量之后�,才需要輸入圖形驗(yàn)證碼�����。具體情況請(qǐng)根據(jù)具體場(chǎng)景來進(jìn)行設(shè)計(jì)。
7�、IP及Cookie限制:限制相同的IP/Cookie信息最大數(shù)量
使用Cookie或者IP,能夠簡(jiǎn)單識(shí)別同一個(gè)用戶���,然后對(duì)相同的用戶進(jìn)行限制(如:24小時(shí)內(nèi)最多只能夠發(fā)送20條短信)��。然而�,Cookie能夠清理�����、IP能夠模擬�����,而且IP還會(huì)出現(xiàn)局域網(wǎng)相同IP的情況�����,因此���,在使用此方法的時(shí)候�,應(yīng)該根據(jù)具體情況來思考�。
8�、短信預(yù)警機(jī)制��,做好出問題之后的防護(hù)
以上的方法并不一定能夠完全杜絕短信被刷��,因此�����,我們也應(yīng)該做好短信的預(yù)警機(jī)制����,即當(dāng)短信的使用量達(dá)到一定量之后��,向管理員發(fā)送預(yù)警信息���,管理員可以立刻對(duì)短信的接口情況進(jìn)行監(jiān)控和防護(hù)����。
以上所說到的方式���,或許不是很完美���,但是可以通過多個(gè)方式結(jié)合著來作使用,通過多個(gè)規(guī)則來降低短信被刷的風(fēng)險(xiǎn)。
