短信驗證碼接口安全防護怎么做，如何實現(xiàn)

短信接口驗證碼是網(wǎng)站、App校驗用戶手機號碼真實性的首要途徑，在為網(wǎng)站及APP提供便利的同時，手機短信驗證功能也會被部分用戶和短信轟炸機進行惡意利用。如何才能防止被惡意點擊呢？

手機號碼限制

限制單個手機號碼每天的最大發(fā)送次數(shù)。超過次數(shù)不能發(fā)送短信，可以考慮將手機號碼加入黑名單，禁止1天

短信發(fā)送時間間隔限制

限制同一個手機號碼重復(fù)發(fā)送的時間間隔。通常設(shè)置為60-120秒，前端做倒計時限制，時間未到不能點擊發(fā)送短信按鈕，后臺也做時間間隔限制，時間未到不能發(fā)送短信。

IP地址限制

限制每個IP地址每天的最大發(fā)送次數(shù)。防止通過同一個IP地址不同手機號碼進行惡意攻擊。超過次數(shù)不能發(fā)送短信，可以考慮將IP地址加入黑名單，禁止1天?？梢钥紤]限制同一個IP地址每分鐘的接口請求頻率。

發(fā)送流程限制

可將流程分成兩個步驟。如：注冊用戶，將發(fā)送短信驗證碼和設(shè)置用戶名密碼分成兩個步驟，第一步一個頁面用來設(shè)置用戶名和密碼，用戶設(shè)置用戶名和密碼發(fā)送到后臺，獲取到后臺返回的第一步成功回執(zhí)之后，進入第二步另一個頁面發(fā)送手機短信驗證碼。忘記密碼，找回密碼，第一步輸入用戶名，第二步發(fā)送短信驗證碼。

增加圖片驗證碼

發(fā)送短信驗證碼時，要求輸入圖片驗證碼，每個圖片驗證碼僅能使用1次，使用1次后，不管輸入的圖片驗證碼是否正確自動失效。如果輸入錯誤更新圖片驗證碼。圖片驗證碼失效可以防止圖片驗證碼識別軟件嘗試多次識別，可以考慮復(fù)雜的圖片驗證碼或點觸驗證、滑動驗證。

對發(fā)送者進行唯一性識別

防止修改參數(shù)偽造多個IP地址和手機號碼進行惡意攻擊，用Token作為唯一性識別標(biāo)識，后臺將Token注入到前端，前端可以獲取到Token，請求發(fā)送短信驗證碼接口時帶上Token，后臺接收到Token進行驗證，驗證未通過不能發(fā)送短信。

發(fā)送短信驗證碼

短信驗證碼有效期內(nèi)，發(fā)送相同的短信驗證碼。比如設(shè)置30分鐘有效，短信發(fā)送時間間隔限制為60秒，第一次發(fā)送之后，60秒倒計時結(jié)束，點擊按鈕第二次發(fā)送，第二次發(fā)送的驗證碼和第一次相同。

短信驗證碼可以考慮數(shù)字和字母組合

短信驗證碼輸入錯誤次數(shù)限制

比如設(shè)置短信驗證碼輸入錯誤3次后，這個短信驗證碼就不能使用了。防止猜測短信驗證碼惡意注冊。

關(guān)于我們：

Infocode藍暢信息技術(shù)有限公司成功為多家世界財富500強企業(yè)以及其他著名品牌提供優(yōu)質(zhì)服務(wù)，是您靠譜的互聯(lián)網(wǎng)開發(fā)供應(yīng)商。

服務(wù)客戶遍及北京、上海、杭州、深圳、廣州、天津、青島、南京、寧波、蘇州、無錫、廈門、重慶、西安等大中型城市及地區(qū)    為您提供：H5開發(fā)，小程序開發(fā)，H5外包，微信開發(fā)，H5商城開發(fā)，小程序商城開發(fā)，網(wǎng)站開發(fā)外包，H5游戲開發(fā)，小程序開發(fā)外包，小程序設(shè)計、APP開發(fā)外包，UI設(shè)計，SEO優(yōu)化，SEO外包，視頻后期制作等優(yōu)質(zhì)服務(wù)