短信验证码防止盗刷的问题

使用场景

• 随着互联网的发展，短信验证已经被广泛使用，那么问题也随之而来，主要体现就在于短信轰炸，短信轰炸软件调用了向指定用户发送验证码的接口，实现对攻击目标进行短信轰炸骚扰的目的；那么问题来了，短信轰炸软件的接口哪里来的？很显然，不会是软件制作者自己掏钱买的，一般都是盗取各种企业短信发送服务的接口来实现的。

如何防止？

• 对手机号、IP、设备做一定的限制
• 加密自己的短信验证码发送接口，尽量防止被别人拿到
• 学习企鹅，直接让用户自己发短信
• 增加一个授权过程

方法

• 第一种方法是常规，有些短信服务器商已经提供了这些服务
• 第二种方法其实属于然并卵，接口总是会暴露的
• 第三种开玩笑？你让用户自己发看！

重点讲第三种

从简单的说就是在发送短信给用户之前，我们先做一套验证，如果验证通过了，再给用户发送短信，这种办法的好处是，你的请求短信的接口被别人知道了，别人还得验证一次才能成功发送短信，增加了复杂度。

大概流程图

---

简单说下流程：

1. 第一步在client端进入发送短信的页面请求第一个步骤，获取一个验证码，这个验证码在服务器上生成，并且存到Redis等缓存服务器中，用于下次请求短信时的校验。
2. 第二步用户填写服务器返回的验证码并带着验证码请求服务器，服务器拿着用户提交过来的验证码到缓存服务器去验证，看看验证码是否存在，如果存在就生成一个短信验证码，分别存储到本地数据库，以及调用第三方短信发送接口，向用户发送短信。
3. 第三步用户---收到短信---输入短信码---提交

问题：

• 问：别人就不能拿到你获取验证码的接口，请求了验证码，再用验证码去发短信吗？

答：生成验证码后，服务器把验证码转换成图片发回前台。

方便与安全：

• 很多情况下根据场景的不同，短信验证的需求也各不相同，比如说登录或者注册的时候，验证码需要可以被多次使用，而且时效需求要高一点，又比如银行支付等场景必须保证验证短信只能使用一次，时效无需太高。