价格不是我们的优势,品质永远是我们的追求!
当前位置:四川快乐12一定牛行业快讯 > 短信验证码接口安全设计
短信验证码接口安全设计
来源:四川快乐12一定牛  时间:2018-06-14 18:03

四川快乐12一定牛 www.njs5.cn     四川快乐12一定牛几乎应用于互联网所有产品,如各种网站、app应用以及软件系统等,主要用于用户短信验证注册、账户安全登录、用户身份验证等应用场景,但短信验证码接口安全问题一直是企业不得不面对的问题。

    短信验证码接口安全问题主要是盗刷,对企业来说危害很大,如消耗企业费用,遭到客户的投诉等,因此做好短信验证码接口的安全设计是非常重要的,那么常见的短信验证码接口安全设计有哪些呢?

    1、图形验证码限制

    用户输入图形验证码并通过之后,再请求短信接口获取验证码。为了有更好的用户体验,也可以设计成:一开始不需要输入图形验证码,在操作达到一定量之后,才需要输入图形验证码。具体情况请根据具体场景来进行设计。

    2、产品流程限制

    例如注册的短信验证码使用场景,我们将注册的步骤分成2步,用户在输入手机号码并设置了密码之后,下一步才进入验证码的验证步骤。

    3、时间限制

    从发送验证码开始,前端(客户端)会进行一个60秒的倒数,在这一分钟之内,用户是无法提交多次发送信息的请求的。这种方法虽然使用得比较普遍,但是却不是非常有用,技术稍微好点的人完全可以绕过这个限制,直接发送短信验证码。

    4、手机号限制

    对于同一个手机号,我们可以进行限制,例如,24小时只能发送5条短信验证码,超出限制则进行报错(如:系统繁忙,请稍后再试)。然而,这也只能够避免人工手动刷短信而已,对于批量使用不同手机号码来刷短信的机器,这种方法也是无可奈何的。

    5、前后端校验

    这种方式比较少人说到,个人觉得可以这种方法值得一试。前端(客户端)在请求发送短信的时候,同时向服务端提交一个Token参数,服务端对这个Token参数进行校验,校验通过之后,再向请求发送短信的接口向用户手机发送短信。

    6、IP及Cookie限制

    使用Cookie或者IP,能够简单识别同一个用户,然后对相同的用户进行限制(如:24小时内最多只能够发送20条短信)。然而,Cookie能够清理、IP能够模拟,而且IP还会出现局域网相同IP的情况,因此,在使用此方法的时候,应该根据具体情况来思考。 推荐阅读:短信验证码接口限制间隔时间

    以上所说到的方式,或许不是很完美,但是可以通过多个方式结合着来作使用,通过多个规则来降低短信被刷的风险,但也不一定能够完全杜绝短信被刷,因此,我们也应该做好短信的预警机制,即当短信的使用量达到一定量之后,向管理员发送预警信息,管理员可以立刻对短信的接口情况进行监控和防护。

 

  • 中国的宗教信仰自由:深刻真诚一贯牢固 2019-06-24
  • 习近平接受《华尔街日报》采访 2019-06-24
  • 雷健坤当选阳泉市人民政府市长 2019-06-21
  • 国务院办公厅印发《意见》 推进奶业振兴保障乳品质量安全 2019-06-21
  • 寻找安徒生:想象的翅膀从家乡延展 2019-06-20
  • 乡镇纪委做指导 村务监督更有力 2019-06-20
  • 国资动态--安徽频道--人民网 2019-06-11
  • 广东金林村:农民爱写诗 2019-06-03
  • 公务加油卡私车加油、违规饮酒 池州两干部被处分 2019-05-18
  • 498米!最长地铁站将建成 2019-05-08
  • 是谁让文艺界大腕儿吃盒饭也来开会 2019-05-08
  • 毛泽东说帝国主义都是纸老虎。是有社会基础的 2019-05-07
  • 【学习时刻】国家行政学院经济学部副主任董小君:明方向、抓“龙头”、变思路,推动东北经济企稳向好 2019-04-24
  • 精彩画面—国际摩托车滚雷巡游节 2019-04-24
  • 留得青山在,何愁春不来? 2019-04-22
  • 贯天下十三水切牌技巧 河北11选5任选七漏洞 西甲最佳射手 2019六合图库 pc28历史结果查询 欢乐升级好友房 大乐透周六走势图行 北单上下单双玩法 手机买彩票正规软件 快乐彩江苏11选5 哪个平台可以玩江西快3 中彩网双色球首页 北京中彩印制有限公司 极速赛车手急速赛车 意甲尤文罗马