短信验证码接口的安全设置常识介绍

2019-12-01 20:52 来源：未知作者：weihepan

目前很多网站app都要用到短信验证码，但短信接口安全问题一直是企业不得不面对的问题。今天我们一起来了解下短信验证码接口的安全设计。

　　1、图形验证码限制

　　用户输入图形短信验证码并通过之后，再请求短信接口获取验证码。为了有更好的用户体验，也可以设计成：一开始不需要输入图形验证码，在操作达到一定量之后，才需要输入图形验证码。具体情况请根据具体场景来进行设计。

　　2、产品流程限制

　　例如注册的短信验证码使用场景，我们将注册的步骤分成2步，用户在输入手机号码并设置了密码之后，下一步才进入验证码的验证步骤。

　　3、时间限制

　　从发送验证码开始，前端（客户端）会进行一个60秒的倒数，在这一分钟之内，用户是无法提交多次发送信息的请求的。这种方法虽然使用得比较普遍，但是却不是非常有用，技术稍微好点的人完全可以绕过这个限制，直接发送短信验证码。

　　4、手机号限制

　　对于同一个手机号，我们可以进行限制，例如，24小时只能发送5条短信验证码，超出限制则进行报错（如：系统繁忙，请稍后再试）。然而，这也只能够避免人工手动刷短信而已，对于批量使用不同手机号码来刷短信的机器，这种方法也是无可奈何的。

　　5、前后端短信接口校验

　　这种方式比较少人说到，个人觉得可以这种方法值得一试。前端（客户端）在请求发送短信的时候，同时向服务端提交一个Token参数，服务端对这个Token参数进行校验，校验通过之后，再向请求发送短信接口向用户手机发送短信。

　　6、IP及Cookie限制

　　使用Cookie或者IP，能够简单识别同一个用户，然后对相同的用户进行限制（如：24小时内最多只能够发送20条短信）。然而，Cookie能够清理、IP能够模拟，而且IP还会出现局域网相同IP的情况，因此，在使用此方法的时候，应该根据具体情况来思考。

　　以上就是介绍的关于短信验证码接口的安全设计的内容，具体详情与短信公司联系。

文章标题：短信验证码接口的安全设置常识介绍，转载请注明：http://www.bjxiaoshizi.com/a/zixunzhongxin/2019/1201/2495.html