使用场景
- 随着互联网的发展,短信验证已经被广泛使用,那么问题也随之而来,主要体现就在于短信轰炸,短信轰炸软件调用了向指定用户发送验证码的接口,实现对攻击目标进行短信轰炸骚扰的目的;那么问题来了,短信轰炸软件的接口哪里来的?很显然,不会是软件制作者自己掏钱买的,一般都是盗取各种企业短信发送服务的接口来实现的。
如何防止?
- 对手机号、IP、设备做一定的限制
- 加密自己的短信验证码发送接口,尽量防止被别人拿到
- 学习企鹅,直接让用户自己发短信
- 增加一个授权过程
方法
- 第一种方法是常规,有些短信服务器商已经提供了这些服务
- 第二种方法其实属于然并卵,接口总是会暴露的
- 第三种开玩笑?你让用户自己发看!
重点讲第三种
从简单的说就是在发送短信给用户之前,我们先做一套验证,如果验证通过了,再给用户发送短信,这种办法的好处是,你的请求短信的接口被别人知道了,别人还得验证一次才能成功发送短信,增加了复杂度。
大概流程图
简单说下流程:
- 第一步在client端进入发送短信的页面请求第一个步骤,获取一个验证码,这个验证码在服务器上生成,并且存到Redis等缓存服务器中,用于下次请求短信时的校验。
- 第二步用户填写服务器返回的验证码并带着验证码请求服务器,服务器拿着用户提交过来的验证码到缓存服务器去验证,看看验证码是否存在,如果存在就生成一个短信验证码,分别存储到本地数据库,以及调用第三方短信发送接口,向用户发送短信。
- 第三步用户---收到短信---输入短信码---提交
问题:
- 问:别人就不能拿到你获取验证码的接口,请求了验证码,再用验证码去发短信吗?
答:生成验证码后,服务器把验证码转换成图片发回前台。
方便与安全:
- 很多情况下根据场景的不同,短信验证的需求也各不相同,比如说登录或者注册的时候,验证码需要可以被多次使用,而且时效需求要高一点,又比如银行支付等场景必须保证验证短信只能使用一次,时效无需太高。
